コンソールを使用して証明書を発行する Google Cloud

このクイックスタート ガイドでは、コンソールを使用して Certificate Authority Service で証明書を生成または発行する方法について説明します。 Google Cloud

インフラストラクチャのプロビジョニングやメンテナンスを行わずに、プライベート認証局(CA)を安全に管理する方法を学習します。

始める前に

  1. アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、実際のシナリオで Google プロダクトのパフォーマンスを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    10.

必要なロール

このクイックスタートを完了するために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。

CA プールを作成します

CA プールは、複数の CA の集まりです。CA プールには、ワークロードの停止やダウンタイムなしに信頼チェーンをローテーションする機能があります。CA プールは単一の Google Cloud ロケーションに存在し、作成後に変更することはできません。

デフォルト設定で CA プールを作成するには、次の手順を行います。

  1. コンソールの Google Cloud [Certificate Authority Service] ページに移動します。

    Certificate Authority Service に移動

  2. [CA プール マネージャー] タブで、 [プールを作成] をクリックします。

  3. [CA プールを作成] ページで、CA プールの名前を追加します。

  4. [リージョン] をクリックし、[us-east1(サウスカロライナ)] を CA プールのリージョンとして選択します。

  5. 各ステップで [次へ] をクリックします。

  6. [完了] をクリックします。

この CA プールは、[CA プール マネージャー] タブの CA プールのリストに表示されます。

ルート CA を作成する

CA プールは、作成時に空です。証明書をリクエストするには、CA プールに CA を追加する必要があります。

ルート CA には、クライアントのトラストストアに自己署名証明書があります。このセクションでは、作成した CA プールにルート CA を追加する方法について説明します。

ルート CA を CA プールに追加するには、次の手順を行います。

  1. [Certificate Authority Service] ページで、[CA マネージャー] をクリックします。
  2. [**CA を作成**] 展開矢印をクリックし、[**既存の CA プールに CA を作成**] を選択します。
  3. 作成した CA プールを選択します。
  4. [続行] をクリックします。
  5. [CA タイプを選択] セクションで、[続行] をクリックします。
  6. [組織(O)] フィールドに、組織の名前を入力します。
  7. [CA 共通名(CN)] フィールドに、CA の名前を入力します。証明書のリクエストに必要になるため、CA 名をメモしておきます。
  8. 各ステップで [続行] をクリックします。
  9. CA の詳細を確認して、[完了] をクリックします。

省略可: 下位 CA プールを作成する

下位 CA プールを使用すると、複数の下位 CA を整理して管理できます。ルート CA は、下位 CA プール内のすべての CA を検証して署名します。

デフォルト設定で下位 CA プールを作成するには、次の手順を行います。

  1. [Certificate Authority Service] ページで、[CA プール マネージャー] をクリックします。
  2. [**プールを作成**] をクリックします。

  3. [CA プールを作成] ページで、下位 CA プールの名前を追加します。

  4. [リージョン] をクリックし、下位 CA プールのリージョンとして [us-east1(サウスカロライナ)] を選択します。

  5. 各ステップで [次へ] をクリックします。

  6. [完了] をクリックします。

[CA プール マネージャー] タブの CA プールのリストに下位 CA プールが表示されていることを確認します。

省略可: ルート CA で署名された下位 CA を作成する

下位 CA は、ウェブサーバー、ユーザー、デバイスなど、証明書を必要とするエンド エンティティに証明書を配布します。 下位 CA は、機密性の高いルート CA と日常的な証明書の発行の間に分離レイヤを作成します。

以前に作成したルート CA で署名された下位 CA を生成するには、次の手順を行います。

  1. [Certificate Authority Service] ページで、[CA マネージャー] をクリックします。
  2. [**CA を作成**] 展開矢印をクリックし、[**既存の CA プールに CA を作成**] を選択します。
  3. 作成した下位 CA プールを選択します。
  4. [続行] をクリックします。
  5. [下位 CA] をクリックします。
  6. [**ルート CA は**] Google Cloud をクリックします。
  7. [署名認証局] フィールドで、[参照] をクリックします。
  8. [CA を選択] ダイアログで、ルート CA を作成するセクションで作成したルート CA を選択します。
  9. [確認] をクリックします。
  10. [有効期間] フィールドに、下位 CA 証明書の有効期間を入力します。
  11. [続行] をクリックします。
  12. [組織(O)] フィールドに、組織の名前を入力します。
  13. [CA 共通名(CN)] フィールドに、下位 CA の名前を入力します。 証明書のリクエストに必要になるため、下位 CA 名をメモしておきます。
  14. 各ステップで [続行] をクリックします。
  15. 下位 CA の詳細を確認して、[完了] をクリックします。

証明書をリクエスト

CA を使用して証明書をリクエストするには、次の手順を行います。

  1. [Certificate Authority Service] ページで、[証明書をリクエスト] をクリックします。
  2. [詳細を入力] をクリックします。
  3. [ドメイン名を追加] で、この証明書で保護するサイトの完全修飾ドメイン名を入力します。
  4. [次へ] をクリックします。

  5. [キーサイズとアルゴリズムを構成する] で、[続行] をクリックします。

    生成された証明書が表示されます。この証明書はコピーまたはダウンロードできます。証明書をコピーするには、 をクリックします。

  6. [完了] をクリックします。

クリーンアップ

証明書を取り消し、このクイックスタート用に作成した CA プール、CA、プロジェクトを削除してクリーンアップします。

  1. 証明書を取り消します。

    1. [プライベート証明書マネージャー] タブをクリックします。
    2. 証明書のリストで、削除する証明書の行にある [さらに表示] をクリックします。
    3. [取り消し] をクリックします。
    4. 表示されたダイアログで [登録解除] をクリックします。

  2. CA を削除します。

    CA は、CA が発行したすべての証明書を取り消した場合にのみ削除できます。

    証明書を取り消したら、次の手順を行います。

    1. CA のリストで、削除する CA を選択します。
    2. [削除] をクリックします。 [Delete Certificate Authority] ダイアログが表示されます。
    3. 省略可: 条件に該当する場合は、次のいずれかまたは両方のチェックボックスをオンにします。

      • 有効な証明書がある場合でも、この CA を削除する

        このオプションを使用すると、有効な証明書を持つ CA を削除できます。有効な証明書を持つ CA を削除すると、それらの証明書に依存するウェブサイト、アプリケーション、システムで障害が発生する可能性があります。CA を削除する前に、CA が発行した有効な証明書をすべて取り消すことをおすすめします。

      • 30 日の猶予期間をスキップして、この CA を直ちに削除する

        30 日間の猶予期間を利用して、この CA が発行したすべての証明書を取り消し 、この CA に依存するシステムがないことを確認できます。サービス停止やデータ損失を防ぐため、このオプションは非本番環境またはテスト環境でのみ使用することをおすすめします。

    4. [確認] をクリックします。

    CA の状態が Deleted に変わります。CA は、削除を開始してから 30 日後に完全に削除されます。

  3. CA プールを削除します。

    CA プールを削除できるのは、CA Service が CA を完全に削除した後のみです。

    CA プール内の CA を削除したら、次の手順を行います。

    1. [CA プール マネージャー] タブをクリックします。
    2. CA プールのリストで、削除する CA プールを選択します。
    3. [Delete] をクリックします。
    4. 表示されたダイアログ ボックスで [確認] をクリックします。

  4. プロジェクトを削除する手順は次のとおりです。

    1. コンソールで [**リソースの管理**] ページに移動します。 Google Cloud

      [リソースの管理] に移動

    2. プロジェクト リストで、削除するプロジェクトを選択し、[削除] をクリックします。
    3. ダイアログでプロジェクト ID を入力し、 [Shut down] をクリックしてプロジェクトを削除します。

次のステップ