Emitir um certificado usando o console Google Cloud

Antes de começar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Se este guia estiver usando um projeto atual, verifique se você tem as permissões necessárias para concluir o guia. Se você criou um projeto, já tem as permissões necessárias.

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Se este guia estiver usando um projeto atual, verifique se você tem as permissões necessárias para concluir o guia. Se você criou um projeto, já tem as permissões necessárias.

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Funções exigidas

Para conseguir as permissões necessárias a fim de concluir o guia de início rápido, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

• Gerente de operações de serviço de CA (roles/privateca.caManager)
• Gerente de certificado de serviço de CA (roles/privateca.certificateManager)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Criar um pool de CA

Um pool de ACs é uma coleção de várias ACs. Um pool de ACs oferece a capacidade de alternar as cadeias de confiança sem nenhuma interrupção ou inatividade das cargas de trabalho. Um pool de CAs fica em um único Google Cloud local que não pode ser alterado após a criação.

Para criar um pool de CA com as configurações padrão, faça o seguinte:

1. Acesse a página Certificate Authority Service no Google Cloud console.

   Acesse Certificate Authority Service

2. Na guia Gerenciador de pools de CA, clique em add_boxCriar pool.

3. Na página Criar pool de CA, adicione um nome para o pool de CA.

4. Clique em Região e selecione us-east1 (Carolina do Sul) como a região do pool de ACs.

5. Clique em Próxima em cada etapa.

6. Clique em Concluído.

Você pode conferir esse pool de CAs na lista de pools de CAs na guia Gerenciador de pools de CA.

Crie uma AC raiz:

Um pool de CAs fica vazio na criação. É necessário adicionar uma CA ao pool de CAs para solicitar certificados.

Uma CA raiz tem um certificado autoassinado que reside no armazenamento de confiança do cliente. Esta seção explica como adicionar uma CA raiz ao pool de CAs que você criou.

Para adicionar uma AC raiz ao pool de ACs, faça o seguinte:

1. Na página Certificate Authority Service, clique em Gerenciador de CA.
2. Clique na seta de expansão Criar CA arrow_drop_down e selecione Criar CA em um pool de ACs atual.
3. Selecione o pool de ACs que você criou.
4. Clique em Continuar.
5. Na seção Selecionar tipo de CA, clique em Continuar.
6. No campo Organização (O), insira o nome da sua organização.
7. No campo Nome comum da CA (CN), insira o nome da CA. Anote o nome da CA porque você vai precisar dele para solicitar um certificado.
8. Clique em Continuar em cada etapa.
9. Revise os detalhes da CA e clique em Concluído.

Opcional: criar um pool de CA subordinada

Com um pool de CAs subordinadas, você organiza e gerencia várias CAs subordinadas. A CA raiz valida e assina todas as CAs em um pool de CAs subordinadas.

Para criar um pool de CAs subordinadas com as configurações padrão, faça o seguinte:

1. Na página Certificate Authority Service, clique em Gerenciador de pools de CA.
2. Clique em add_boxCriar pool.

3. Na página Criar pool de CA, adicione um nome para o pool de CA subordinada.

4. Clique em Região e selecione us-east1 (Carolina do Sul) como a região do pool de ACs subordinado.

5. Clique em Próxima em cada etapa.

6. Clique em Concluído.

Verifique se o pool de CA subordinada está disponível na lista de pools de CA na guia Gerenciador de pools de CA.

Opcional: crie uma AC subordinada assinada pela sua AC raiz

As CAs subordinadas são responsáveis por distribuir certificados para as entidades finais que precisam deles, como servidores da Web, usuários e dispositivos. As CAs subordinadas criam uma camada de separação entre a CA raiz altamente sensível e a emissão de certificados diária.

Para gerar uma AC subordinada assinada por uma AC raiz que você criou antes, faça o seguinte:

1. Na página Certificate Authority Service, clique em Gerenciador de CA.
2. Clique na seta de expansão Criar CA arrow_drop_down e selecione Criar CA em um pool de ACs atual.
3. Selecione o pool de CAs subordinadas que você criou.
4. Clique em Continuar.
5. Clique em CA subordinada.
6. Clique em A CA raiz está em Google Cloud.
7. No campo Autoridade de certificação de assinatura, clique em Procurar.
8. Na caixa de diálogo Selecionar uma CA, escolha a CA raiz criada na seção Criar uma CA raiz.
9. Clique em Confirmar.
10. No campo Válido por, insira a duração de validade do certificado da AC subordinada.
11. Clique em Continuar.
12. No campo Organização (O), insira o nome da sua organização.
13. No campo Nome comum da CA (CN), insira o nome da CA subordinada. Anote o nome da CA subordinada porque você vai precisar dele para solicitar um certificado.
14. Clique em Continuar em cada etapa.
15. Revise os detalhes da CA subordinada e clique em Concluído.

Solicitar um certificado

Para solicitar um certificado usando a CA, faça o seguinte:

1. Na página Autoridade de certificação, clique em Solicitar um certificado.

2. Clique em Inserir detalhes.

   

3. Em Adicionar nome de domínio, digite o nome de domínio totalmente qualificado do site que você quer proteger com esse certificado.

4. Clique em Próxima.

5. Em Configurar tamanho e algoritmo da chave, clique em Continuar.

   O certificado gerado vai aparecer e pode ser copiado ou baixado. Para copiar o certificado, clique em content_copy.

   

6. Clique em Concluído.

Limpar

Faça uma limpeza revogando o certificado e excluindo o pool de CAs, a CA e o projeto que você criou para este guia de início rápido.

1. Revogue o certificado.

   1. Clique na guia Gerenciador de certificados particulares.
   2. Na lista de certificados, clique em more_vertVer mais na linha do certificado que você quer excluir.
   3. Clique em Revogar.
   4. Na caixa de diálogo exibida, clique em Confirmar.

2. Exclua a CA.

   Só é possível excluir uma CA depois de revogar todos os certificados emitidos por ela.

   Depois de revogar o certificado, faça o seguinte:

   1. Na lista de ACs, selecione a que você quer excluir.
   2. Clique em deleteExcluir. A caixa de diálogo Excluir autoridade certificadora aparece.
   3. Opcional: marque uma ou ambas as caixas de seleção a seguir se as condições se aplicarem a você:

      • Excluir esta CA, mesmo se houver certificados ativos

        Essa opção permite excluir uma CA com certificados ativos. A exclusão de uma CA com certificados ativos pode causar falhas em sites, aplicativos ou sistemas que dependem desses certificados. Recomendamos revogar todos os certificados ativos emitidos por uma CA antes de excluir a CA.

      • Pule o período de carência de 30 dias e exclua essa CA imediatamente

        O período de carência de 30 dias permite revogar todos os certificados emitidos por essa CA e verificar se nenhum sistema depende dela. Recomendamos usar essa opção apenas em ambientes de teste ou que não sejam de produção para evitar possíveis interrupções e perda de dados.

   4. Clique em Confirmar.

   O estado da CA muda para Deleted. A CA é excluída permanentemente 30 dias depois que você inicia a exclusão.

3. Exclua o pool de ACs.

   Só é possível excluir um pool de CA depois que o serviço de CA exclui permanentemente a CA.

   Depois de excluir a CA no pool de CAs, faça o seguinte:

   1. Clique na guia Gerenciador de pools de CA.
   2. Na lista de pools de ACs, selecione o que você quer excluir.
   3. Clique em deleteExcluir.
   
   4. Na caixa de diálogo exibida, clique em Confirmar.

4. Para excluir o projeto, faça o seguinte:

   1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

   2. In the project list, select the project that you want to delete, and then click Delete.
   3. In the dialog, type the project ID, and then click Shut down to delete the project.

A seguir

• Saiba mais sobre pools de CAs.
• Saiba como criar um pool de ACs.
• Saiba mais sobre como criar CAs.
• Saiba mais sobre como solicitar certificados.
• Saiba como controlar o tipo de certificados que um pool de CAs pode emitir.