Menerbitkan sertifikat menggunakan konsol Google Cloud

Panduan memulai ini menunjukkan cara membuat atau menerbitkan sertifikat melalui Layanan Otoritas Sertifikat menggunakan konsol Google Cloud .

Pelajari cara mengelola certificate authority (CA) pribadi secara aman tanpa menyediakan atau memelihara infrastruktur.

Sebelum memulai

Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk menyelesaikan panduan memulai cepat ini, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:

CA Service Operation Manager (roles/privateca.caManager)
CA Service Certificate Manager (roles/privateca.certificateManager)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat kumpulan CA

Kumpulan CA adalah kumpulan beberapa CA. Kumpulan CA memberikan kemampuan untuk merotasi rantai kepercayaan tanpa gangguan atau periode nonaktif untuk workload. Pool CA berada di satu Google Cloud lokasi yang tidak dapat diubah setelah pembuatan.

Untuk membuat pool CA dengan setelan default, lakukan hal berikut:

Buka halaman Certificate Authority Service di konsol Google Cloud .

Buka Certificate Authority Service
Di tab CA pool manager, klik Create pool.
Di halaman Create CA pool, tambahkan nama untuk CA pool.

Catatan: Nama semua resource CA Service hanya boleh berisi karakter yang diizinkan, yaitu semua huruf, angka, tanda hubung, dan garis bawah. Panjang maksimum yang diizinkan untuk nama adalah 63 karakter.
Klik Region, lalu pilih us-east1 (South Carolina) sebagai region pool CA.
Klik Berikutnya untuk setiap langkah.
Klik Done.

Anda dapat melihat kumpulan CA ini dalam daftar kumpulan CA di tab Pengelola kumpulan CA.

Membuat CA root

Pool CA kosong saat dibuat. Anda harus menambahkan CA ke kumpulan CA untuk meminta sertifikat.

CA root memiliki sertifikat yang ditandatangani sendiri yang berada di toko kepercayaan klien. Bagian ini menjelaskan cara menambahkan CA root ke kumpulan CA yang Anda buat.

Untuk menambahkan CA root ke kumpulan CA Anda, lakukan hal berikut:

Di halaman Certificate Authority Service, klik CA manager.
Klik panah peluas Buat CA lalu pilih Buat CA di kumpulan CA yang ada.
Pilih kumpulan CA yang Anda buat.
Klik Lanjutkan.
Di bagian Pilih jenis CA, klik Lanjutkan.
Di kolom Organisasi (O), masukkan nama organisasi Anda.
Di kolom CA common name (CN), masukkan nama CA. Catat nama CA karena Anda akan memerlukannya untuk meminta sertifikat.
Klik Lanjutkan untuk setiap langkah.
Tinjau detail CA, lalu klik Selesai.

Opsional: Buat kumpulan CA subordinat

Kumpulan CA subordinat memungkinkan Anda mengatur dan mengelola beberapa CA subordinat. CA root memvalidasi dan menandatangani semua CA dalam kumpulan CA bawahan.

Untuk membuat kumpulan CA subordinat dengan setelan default, lakukan hal berikut:

Di halaman Certificate Authority Service, klik CA pool manager.
Klik Buat pool.
Di halaman Create CA pool, tambahkan nama untuk kumpulan CA bawahan.

Catatan: Nama semua resource CA Service hanya boleh berisi karakter yang diizinkan, yaitu semua huruf, angka, tanda hubung, dan garis bawah. Panjang maksimum yang diizinkan untuk nama adalah 63 karakter.
Klik Region, lalu pilih us-east1 (South Carolina) sebagai region pool CA subordinat.
Klik Berikutnya untuk setiap langkah.
Klik Done.

Pastikan kumpulan CA subordinat tersedia dalam daftar kumpulan CA di tab Pengelola kumpulan CA.

Opsional: Buat CA subordinat yang ditandatangani oleh CA root Anda

CA subordinat bertanggung jawab untuk mendistribusikan sertifikat ke entitas akhir yang membutuhkannya, seperti server web, pengguna, dan perangkat. CA bawahan menciptakan lapisan pemisahan antara CA root yang sangat sensitif dan penerbitan sertifikat sehari-hari.

Untuk membuat CA subordinat yang ditandatangani oleh CA root yang Anda buat sebelumnya, lakukan hal berikut:

Di halaman Certificate Authority Service, klik CA manager.
Klik panah peluas Buat CA lalu pilih Buat CA di kumpulan CA yang ada.
Pilih kumpulan CA subordinat yang Anda buat.
Klik Lanjutkan.
Klik Subordinate CA.
Klik Root CA berada di Google Cloud.
Di kolom Signing Certificate Authority, klik Browse.
Dari dialog Select a CA, pilih CA root yang dibuat di bagian Membuat CA root.
Klik Konfirmasi.
Di kolom Valid untuk, masukkan durasi yang Anda inginkan agar sertifikat CA bawahan berlaku.
Klik Lanjutkan.
Di kolom Organisasi (O), masukkan nama organisasi Anda.
Di kolom Nama umum (CN) CA, masukkan nama CA bawahan. Catat nama CA subordinat karena Anda akan memerlukannya untuk meminta sertifikat.
Klik Lanjutkan untuk setiap langkah.
Tinjau detail CA bawahan, lalu klik Selesai.

Minta sertifikat

Untuk meminta sertifikat menggunakan CA, lakukan hal berikut:

Di halaman Certificate Authority Service, klik Minta sertifikat.
Klik Masukkan detail.
Di bagian Tambahkan nama domain, masukkan nama domain yang sepenuhnya memenuhi syarat dari situs yang ingin Anda amankan dengan sertifikat ini.
Klik Berikutnya.
Di bagian Configure key size and algorithm, klik Continue.

Anda akan melihat sertifikat yang dibuat yang dapat Anda salin atau download. Untuk menyalin sertifikat, klik .
Klik Done.

Pembersihan

Bersihkan dengan mencabut sertifikat dan menghapus kumpulan CA, CA, dan project yang Anda buat untuk panduan memulai ini.

Cabut sertifikat.
1. Klik tab Pengelola sertifikat pribadi.
2. Dalam daftar sertifikat, klik Lihat selengkapnya di baris sertifikat yang ingin Anda hapus.
3. Klik Cabut.
4. Pada dialog yang terbuka, klik Konfirmasi.
Hapus CA.

Anda hanya dapat menghapus CA setelah mencabut semua sertifikat yang dikeluarkan oleh CA tersebut.

Setelah mencabut sertifikat, lakukan hal berikut:
1. Dalam daftar CA, pilih CA yang ingin Anda hapus.
2. Klik Delete. Dialog Hapus Certificate Authority akan muncul.
3. Opsional: Centang salah satu atau kedua kotak centang berikut jika kondisi tersebut berlaku bagi Anda:
  - Hapus CA ini, meskipun ada sertifikat aktif
    
    Opsi ini memungkinkan Anda menghapus CA dengan sertifikat aktif. Menghapus CA dengan sertifikat aktif dapat menyebabkan kegagalan situs, aplikasi, atau sistem yang mengandalkan sertifikat tersebut. Sebaiknya batalkan semua sertifikat aktif yang dikeluarkan oleh CA sebelum Anda menghapus CA.
  - Lewati masa tenggang 30 hari dan hapus CA ini segera
    
    Masa tenggang 30 hari memberi Anda waktu untuk mencabut semua sertifikat yang dikeluarkan oleh CA ini dan memverifikasi bahwa tidak ada sistem yang bergantung pada CA ini. Sebaiknya gunakan opsi ini hanya di lingkungan non-produksi atau pengujian untuk mencegah kemungkinan gangguan dan kehilangan data.
4. Klik Konfirmasi.
Status CA berubah menjadi Deleted. CA akan dihapus secara permanen 30 hari setelah Anda memulai penghapusan.
Hapus kumpulan CA.

Anda dapat menghapus kumpulan CA hanya setelah Layanan CA menghapus CA secara permanen.

Setelah Anda menghapus CA di kumpulan CA, lakukan hal berikut:
1. Klik tab CA pool manager.
2. Di daftar kumpulan CA, pilih kumpulan CA yang ingin Anda hapus.
3. Klik Delete.
4. Di kotak dialog yang terbuka, klik Konfirmasi.
Untuk menghapus project, lakukan langkah-langkah berikut:
1. Di Konsol Google Cloud , buka halaman Manage resources.
  Buka Kelola resource
2. Pada daftar project, pilih project yang ingin Anda hapus, lalu klik Delete.
3. Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.

Langkah berikutnya

Pelajari kumpulan CA lebih lanjut.
Pelajari lebih lanjut cara membuat kumpulan CA.
Pelajari lebih lanjut cara membuat CA.
Pelajari lebih lanjut cara meminta sertifikat.
Pelajari cara mengontrol jenis sertifikat yang dapat dikeluarkan oleh kumpulan CA.