Emitir um certificado usando o Google Cloud console

Este guia de início rápido mostra como gerar ou emitir certificados pelo Certificate Authority Service usando o Google Cloud console.

Aprenda a gerenciar autoridades de certificação (ACs) particulares com segurança sem provisionar ou manter a infraestrutura.

Antes de começar

  1. Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloudagora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    10.

Funções exigidas

Para conseguir as permissões necessárias a fim de concluir o guia de início rápido, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Criar um pool de CA

Um pool de CA é uma coleção de várias CAs. Um pool de AC oferece a capacidade de alternar as cadeias de confiança sem nenhuma interrupção do serviço ou inatividade das cargas de trabalho. Um pool de CA fica em um único Google Cloud local que não pode ser alterado após a criação.

Para criar um pool de CA com as configurações padrão, faça o seguinte:

  1. Acesse a página Certificate Authority Service no Google Cloud console.

    Acesse Certificate Authority Service

  2. Na guia Gerenciador de pools de CA, clique em Criar pool.

  3. Na página Criar pool de CA, adicione um nome para o pool de CA.

  4. Clique em Região e selecione us-east1 (Carolina do Sul) como a região do pool de CA.

  5. Clique em Próxima para cada etapa.

  6. Clique em Concluído.

É possível conferir esse pool de CA na lista de pools de CA na guia Gerenciador de pools de CA.

Crie uma AC raiz:

Um pool de CA está vazio na criação. É necessário adicionar uma CA ao pool de CA para solicitar certificados.

Uma CA raiz tem um certificado autoassinado que reside no armazenamento confiável do cliente. Esta seção explica como adicionar uma CA raiz ao pool de CA criado.

Para adicionar uma CA raiz ao pool de CA, faça o seguinte:

  1. Na página Certificate Authority Service, clique em Gerenciador de CA.
  2. Clique na seta do expansor Criar CA e selecione Criar CA em um pool de CA atual.
  3. Selecione o pool de CA criado.
  4. Clique em Continuar.
  5. Na seção Selecionar tipo de CA, clique em Continuar.
  6. No campo Organização (O), digite o nome da sua organização.
  7. No campo Nome comum da CA (CN), digite o nome da CA. Anote o nome da AC, porque ele será necessário para solicitar um certificado.
  8. Clique em Continuar para cada etapa.
  9. Revise os detalhes da CA e clique em Concluído.

Opcional: criar um pool de CA subordinado

Um pool de CA subordinado permite organizar e gerenciar várias CAs subordinadas. A CA raiz valida e assina todas as CAs em um pool de CA subordinado.

Para criar um pool de CA subordinado com as configurações padrão, faça o seguinte:

  1. Na página Certificate Authority Service, clique em Gerenciador de pools de CA.
  2. Clique em Criar pool.

  3. Na página Criar pool de CA, adicione um nome para o pool de CA subordinado.

  4. Clique em Região e selecione us-east1 (Carolina do Sul) como a região do pool de CA subordinado.

  5. Clique em Próxima para cada etapa.

  6. Clique em Concluído.

Verifique se o pool de CA subordinado está disponível na lista de pools de CA na guia Gerenciador de pools de CA.

Opcional: criar uma CA subordinada assinada pela CA raiz

As CAs subordinadas são responsáveis por distribuir certificados para as entidades finais que precisam deles, como servidores da Web, usuários e dispositivos. As CAs subordinadas criam uma camada de separação entre a CA raiz altamente sensível e a emissão de certificados diária.

Para gerar uma CA subordinada assinada por uma CA raiz criada anteriormente, faça o seguinte:

  1. Na página Certificate Authority Service, clique em Gerenciador de CA.
  2. Clique na seta do expansor Criar CA e selecione Criar CA em um pool de CA atual.
  3. Selecione o pool de CA subordinado criado.
  4. Clique em Continuar.
  5. Clique em CA subordinada.
  6. Clique em A CA raiz está em Google Cloud.
  7. No campo Autoridade de certificação de assinatura, clique em Procurar.
  8. Na caixa de diálogo Selecionar uma CA, selecione a CA raiz criada na seção Criar uma CA raiz.
  9. Clique em Confirmar.
  10. No campo Válido por, insira a duração de validade do certificado de CA subordinado.
  11. Clique em Continuar.
  12. No campo Organização (O), digite o nome da sua organização.
  13. No campo Nome comum da CA (CN), digite o nome da CA subordinada. Anote o nome da CA subordinada, porque ele será necessário para solicitar um certificado.
  14. Clique em Continuar para cada etapa.
  15. Revise os detalhes da CA subordinada e clique em Concluído.

Solicitar um certificado

Para solicitar um certificado usando a CA, faça o seguinte:

  1. Na página Certificate Authority Service, clique em Solicitar um certificado.
  2. Clique em Inserir detalhes.
  3. Em Adicionar nome de domínio, insira o nome de domínio totalmente qualificado do site que você quer proteger com esse certificado.
  4. Clique em Próxima.

  5. Em Configurar tamanho e algoritmo da chave, clique em Continuar.

    Você vai encontrar o certificado gerado que pode ser copiado ou baixado. Para copiar o certificado, clique em .

  6. Clique em Concluído.

Limpar

Faça uma limpeza revogando o certificado e excluindo o pool de CA, a CA e o projeto criados para este guia de início rápido.

  1. Revogue o certificado.

    1. Clique na guia Gerenciador de certificados particulares.
    2. Na lista de certificados, clique em Ver mais na linha do certificado que você quer excluir.
    3. Clique em Revogar.
    4. Na caixa de diálogo exibida, clique em Confirmar.

  2. Exclua a CA.

    Só é possível excluir uma CA depois de revogar todos os certificados emitidos por ela.

    Depois de revogar o certificado, faça o seguinte:

    1. Na lista de CAs, selecione a CA que você quer excluir.
    2. Clique em Excluir. A caixa de diálogo Excluir Autoridade de Certificação aparece.
    3. Opcional: selecione uma ou ambas as caixas de seleção a seguir se as condições se aplicarem a você:

      • Excluir esta CA, mesmo se houver certificados ativos

        Essa opção permite excluir uma CA com certificados ativos. A exclusão de uma CA com certificados ativos pode causar falhas em sites, aplicativos ou sistemas que dependem desses certificados to fail. Recomendamos revogar todos os certificados ativos emitidos por uma CA antes de excluir a CA.

      • Pule o período de carência de 30 dias e exclua essa CA imediatamente

        O período de carência de 30 dias permite revogar todos os certificados emitidos por essa CA e verificar se nenhum sistema depende dela. Recomendamos usar essa opção somente em ambientes de teste ou não produção para evitar possíveis interrupções e perda de dados.

    4. Clique em Confirmar.

    O estado da CA muda para Deleted. A CA é excluída permanentemente 30 dias após o início da exclusão.

  3. Exclua o pool de CA.

    Só é possível excluir um pool de CA depois que o serviço de CA excluir permanentemente a CA.

    Depois de excluir a CA no pool de CA, faça o seguinte:

    1. Clique na guia Gerenciador de pools de CA.
    2. Na lista de pools de CA, selecione o pool de CA que você quer excluir.
    3. Clique em Excluir.
    4. Na caixa de diálogo exibida, clique em Confirmar.

  4. Para excluir seu projeto, faça o seguinte:

    1. No Google Cloud console, acesse a página Gerenciar recursos.

      Acessar "Gerenciar recursos"

    2. Na lista de projetos, selecione o projeto que você quer excluir e clique em Excluir.
    3. Na caixa de diálogo, digite o ID do projeto e clique em Desligar para excluir o projeto.

A seguir