Emita um certificado através da Google Cloud consola

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Se estiver a usar um projeto existente para este guia, verifique se tem as autorizações necessárias para concluir este guia. Se criou um novo projeto, já tem as autorizações necessárias.

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Se estiver a usar um projeto existente para este guia, verifique se tem as autorizações necessárias para concluir este guia. Se criou um novo projeto, já tem as autorizações necessárias.

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Funções necessárias

Para receber as autorizações de que precisa para concluir este início rápido, peça ao seu administrador que lhe conceda as seguintes funções da IAM no seu projeto:

• CA Service Operation Manager (roles/privateca.caManager)
• Gestor de certificados do serviço de AC (roles/privateca.certificateManager)

Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie um conjunto de ACs

Um conjunto de ACs é uma coleção de várias ACs. Um conjunto de ACs permite alternar cadeias de confiança sem interrupções ou tempo de inatividade para cargas de trabalho. Um conjunto de CA reside numa única Google Cloud localização que não pode alterar após a criação.

Para criar um conjunto de CA com as predefinições, faça o seguinte:

1. Aceda à página Serviço de autoridade de certificação na Google Cloud consola.

   Aceda ao Certificate Authority Service

2. No separador Gestor de conjunto de ACs, clique em add_boxCriar conjunto.

3. Na página Criar conjunto de ACs, adicione um nome para o conjunto de ACs.

4. Clique em Região e selecione us-east1 (Carolina do Sul) como a região do conjunto de CA.

5. Clique em Seguinte para cada passo.

6. Clique em Concluído.

Pode ver este conjunto de ACs na lista de conjuntos de ACs no separador Gestor de conjuntos de ACs.

Crie uma AC de raiz

Um conjunto de CA está vazio no momento da criação. Tem de adicionar uma AC ao conjunto de ACs para pedir certificados.

Uma CA de raiz tem um certificado autoassinado que reside na loja de confiança do cliente. Esta secção explica como pode adicionar uma AC de raiz ao conjunto de ACs que criou.

Para adicionar uma CA de raiz ao seu conjunto de CAs, faça o seguinte:

1. Na página Serviço de autoridade de certificação, clique em Gestor de AC.
2. Clique na seta de expansão Criar CA arrow_drop_down e, de seguida, selecione Criar CA num conjunto de CAs existente.
3. Selecione o conjunto de ACs que criou.
4. Clique em Continuar.
5. Na secção Selecionar tipo de CA, clique em Continuar.
6. No campo Organização (O), introduza o nome da sua organização.
7. No campo Nome comum (CN) da AC, introduza o nome da AC. Tome nota do nome da AC, uma vez que vai precisar dele para pedir um certificado.
8. Clique em Continuar para cada passo.
9. Reveja os detalhes da AC e clique em Concluído.

Opcional: crie um grupo de CAs subordinados

Um conjunto de ACs subordinadas permite-lhe organizar e gerir várias ACs subordinadas. A CA raiz valida e assina todas as CAs num conjunto de CAs subordinadas.

Para criar um conjunto de ACs subordinado com as predefinições, faça o seguinte:

1. Na página Serviço de autoridade de certificação, clique em Gestor de conjunto de ACs.
2. Clique em add_boxCriar conjunto.

3. Na página Criar conjunto de ACs, adicione um nome para o conjunto de ACs subordinado.

4. Clique em Região e selecione us-east1 (Carolina do Sul) como a região do conjunto de ACs subordinado.

5. Clique em Seguinte para cada passo.

6. Clique em Concluído.

Certifique-se de que o conjunto de CAs subordinado está disponível na lista de conjuntos de CAs no separador Gestor de conjuntos de CAs.

Opcional: crie uma CA subordinada assinada pela sua CA de raiz

As ACs subordinadas são responsáveis pela distribuição de certificados às entidades finais que deles necessitam, como servidores Web, utilizadores e dispositivos. As ACs subordinadas criam uma camada de separação entre a AC de raiz altamente sensível e a emissão de certificados diária.

Para gerar uma AC subordinada assinada por uma AC raiz que criou anteriormente, faça o seguinte:

1. Na página Serviço de autoridade de certificação, clique em Gestor de AC.
2. Clique na seta de expansão Criar CA arrow_drop_down e, de seguida, selecione Criar CA num conjunto de CAs existente.
3. Selecione o conjunto de ACs subordinadas que criou.
4. Clique em Continuar.
5. Clique em CA subordinado.
6. Clique em A AC de raiz está em Google Cloud.
7. No campo Autoridade de certificação de assinatura, clique em Procurar.
8. Na caixa de diálogo Selecionar uma AC, selecione a AC raiz criada na secção Criar uma AC raiz.
9. Clique em Confirm.
10. No campo Válido durante, introduza a duração durante a qual quer que o certificado da CA subordinada seja válido.
11. Clique em Continuar.
12. No campo Organização (O), introduza o nome da sua organização.
13. No campo Nome comum da AC (CN), introduza o nome da AC subordinada. Tome nota do nome da AC subordinada, uma vez que vai precisar dele para pedir um certificado.
14. Clique em Continuar para cada passo.
15. Reveja os detalhes da AC subordinada e clique em Concluído.

Peça um certificado

Para pedir um certificado através da AC, faça o seguinte:

1. Na página Autoridade de certificação, clique em Pedir um certificado.

2. Clique em Introduzir detalhes.

   

3. Em Adicionar nome do domínio, introduza o nome do domínio totalmente qualificado do site que quer proteger com este certificado.

4. Clicar em Seguinte.

5. Em Configurar tamanho da chave e algoritmo, clique em Continuar.

   É apresentado o certificado gerado que pode copiar ou transferir. Para copiar o certificado, clique em content_copy.

   

6. Clique em Concluído.

Limpar

Limpe revogando o certificado e eliminando o conjunto de ACs, a AC e o projeto que criou para este início rápido.

1. Revogue o certificado.

   1. Clique no separador Gestor de certificados privados.
   2. Na lista de certificados, clique em more_vertVer mais na linha do certificado que quer eliminar.
   3. Clique em Revogar.
   4. Na caixa de diálogo apresentada, clique em Confirmar.

2. Elimine a CA.

   Só pode eliminar uma AC depois de revogar todos os certificados emitidos por esta.

   Depois de revogar o certificado, faça o seguinte:

   1. Na lista de ACs, selecione a AC que quer eliminar.
   2. Clique em deleteEliminar. É apresentada a caixa de diálogo Eliminar autoridade de certificação.
   3. Opcional: selecione uma ou ambas as caixas de verificação seguintes se as condições se aplicarem a si:

      • Eliminar esta AC, mesmo que existam certificados ativos

        Esta opção permite-lhe eliminar uma AC com certificados ativos. A eliminação de uma AC com certificados ativos pode fazer com que os Websites, as aplicações ou os sistemas que dependem desses certificados falhem. Recomendamos que revogue todos os certificados ativos emitidos por uma AC antes de eliminar a AC.

      • Ignorar o período de tolerância de 30 dias e eliminar este CA imediatamente

        O período de tolerância de 30 dias dá-lhe tempo para revogar todos os certificados emitidos por esta AC e verificar se existem sistemas que dependem desta AC. Recomendamos que use esta opção apenas em ambientes de teste ou não de produção para evitar potenciais interrupções e perda de dados.

   4. Clique em Confirm.

   O estado da CA é alterado para Deleted. O CA é eliminado permanentemente 30 dias após iniciar a eliminação.

3. Elimine o conjunto de CA.

   Só pode eliminar um conjunto de ACs depois de o serviço de ACs eliminar permanentemente a AC.

   Depois de eliminar a CA no conjunto de CAs, faça o seguinte:

   1. Clique no separador Gestor do conjunto de ACs.
   2. Na lista de conjuntos de ACs, selecione o conjunto de ACs que quer eliminar.
   3. Clique em deleteEliminar.
   
   4. Na caixa de diálogo apresentada, clique em Confirmar.

4. Para eliminar o projeto, faça o seguinte:

   1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

   2. In the project list, select the project that you want to delete, and then click Delete.
   3. In the dialog, type the project ID, and then click Shut down to delete the project.

O que se segue?

• Saiba mais acerca dos conjuntos de ACs.
• Saiba mais sobre como criar um conjunto de ACs.
• Saiba como criar públicos-alvo personalizados.
• Saiba mais sobre como pedir certificados.
• Saiba como controlar o tipo de certificados que um conjunto de ACs pode emitir.