Google Cloud CLI を使用して証明書を発行する

このページでは、Google Cloud CLI を使用して Certificate Authority Service で証明書を生成または発行する方法について説明します。

CA Service を使用すると、インフラストラクチャを管理することなく、プライベート CA をデプロイして管理できます。

始める前に

  • Google Cloud CLI をインストールします。 インストール後、次のコマンドを実行して Google Cloud CLI を初期化します。 

    gcloud init

    外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  • Create or select a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  • Enable the Certificate Authority Service API:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable privateca.googleapis.com

  • Verify that billing is enabled for your Google Cloud project.

  • このクイックスタートの gcloud コマンドで使用するデフォルトのロケーションを構成します。

    gcloud config set privateca/location LOCATION

    CA プールや CA などの CA Service のリソースは、単一のGoogle Cloud のロケーションに存在します。これらのリソースを作成した後は変更できません。

CA プールを作成します

認証局(CA)プールは、複数の CA の集合です。CA プールには、ワークロードの停止やダウンタイムなしに信頼チェーンをローテーションする機能があります。

Enterprise ティアで CA プールを作成するには、次のコマンドを実行します。

gcloud privateca pools create POOL_ID --location LOCATION --tier "enterprise"

以下を置き換えます。

  • POOL_ID: CA プールの名前。
  • LOCATION: CA プールのロケーション。ロケーションの完全なリストについては、ロケーションをご覧ください。

すべての CA Service リソースの名前には、使用可能な文字(すべての文字、数字、ハイフン、アンダースコア)のみを含める必要があります。名前の最大長は 63 文字です。

ルート CA を作成する

CA プールは、作成時に空です。CA プールから証明書をリクエストするには、CA プールに CA を追加する必要があります。

ルート CA を作成して、作成した CA プールに追加するには、次のコマンドを実行します。

gcloud privateca roots create CA_ID --pool POOL_ID --location LOCATION --subject "CN=Example Prod Root CA, O=Google"

以下を置き換えます。

  • CA_ID: ルート CA の名前。
  • POOL_ID: CA プールの名前。
  • LOCATION: CA プールのロケーション。ロケーションの完全なリストについては、ロケーションをご覧ください。

CA Service は、ルート CA の作成時に次のコマンドを返します。

Created Certificate Authority [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID]

gcloud CLI からプロンプトが表示されたら、y と入力してルート CA を有効にします。

省略可: 下位 CA プールを作成する

下位 CA プールを作成するには、次のコマンドを実行します。

    gcloud privateca pools create SUBORDINATE_POOL_ID
        --location LOCATION
        --tier TIER

次のように置き換えます。

  • SUBORDINATE_POOL_ID: 下位 CA プールの ID。
  • LOCATION: 下位 CA プールのロケーション。ロケーションの完全なリストについては、ロケーションをご覧ください。
  • TIER: 下位 CA の階層(devops または enterprise)。

省略可: Google Cloudに保存されているルート CA によって署名された下位 CA を作成します。

前の手順で作成した下位 CA プールに下位 CA を作成するには、次のコマンドを実行します。

    gcloud privateca subordinates create SUBORDINATE_CA_ID \
        --location=LOCATION \
        --pool=SUBORDINATE_POOL_ID \
        --issuer-pool=POOL_ID \
        --issuer-location=ISSUER_LOCATION \
        --from-ca=EXISTING_CA_ID \
        --kms-key-version projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/KEY_VERSION \"

次のように置き換えます。

  • SUBORDINATE_CA_ID: 下位 CA の ID。
  • LOCATION: 下位 CA のロケーション。ロケーションの完全なリストについては、ロケーションをご覧ください。
  • SUBORDINATE_POOL_ID: 前のセクションで作成した下位 CA プールの ID。
  • POOL_ID: 親 CA プールの ID。
  • ISSUER_LOCATION: 証明書のロケーション。
  • EXISTING_CA_ID: ソース CA の ID。
  • PROJECT_ID: プロジェクトの ID。
  • LOCATION_ID: キーリングのロケーション。
  • KEY_RING: 鍵が配置されているキーリングの名前。
  • KEY: 鍵の名前
  • KEY_VERSION: 鍵のバージョン。

下位 CA が作成されると、次のステートメントが返されます。

Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].

gcloud CLI からプロンプトが表示されたら、y と入力して下位 CA を有効にします。

証明書を生成

新しく作成した CA を使用して証明書を作成するには、次の手順を行います。

  1. pip コマンドを使用して Pyca 暗号ライブラリをインストールします。

      pip install --user "cryptography>=2.2.0"

    CA サービスは、Pyca 暗号ライブラリを使用して、ローカルマシンに新しい非対称鍵ペアを生成して保存します。この鍵が CA Service に送信されることはありません。

  2. Google Cloud SDK で Pyca 暗号ライブラリを使用できるようにするには、サイト パッケージを有効にする必要があります。

    macOS または Linux

    export CLOUDSDK_PYTHON_SITEPACKAGES=1

    Windows

    set CLOUDSDK_PYTHON_SITEPACKAGES=1

  3. 証明書を作成します。

      gcloud privateca certificates create \
      --issuer-pool POOL_ID \
      --issuer-location ISSUER_LOCATION \
      --subject "CN=Example Prod,O=Google" \
      --generate-key \
      --key-output-file=./key \
      --cert-output-file=./cert.pem

    以下を置き換えます。

    • POOL_ID: 作成した CA プールのリソース ID。
    • ISSUER_LOCATION: デジタル証明書を発行した認証局のロケーション。

    CA Service は次のレスポンスを返します。

    Created Certificate [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates/CERTIFICATE_ID]

クリーンアップ

このクイックスタート用に作成した CA プール、CA、プロジェクトを削除してクリーンアップします。

  1. 証明書を取り消します。

      証明書を取り消すには、次のコマンドを実行します。 

       gcloud privateca certificates revoke --certificate CERT_NAME
 --issuer-pool POOL_ID --location 
LOCATION

      次のように置き換えます。

      • CERT_NAME: 取り消す証明書の名前。
      • POOL_ID: 証明書を発行した CA プールの名前。
      • LOCATION: CA プールのロケーション。

  2. CA を削除します。

    CA は、CA が発行したすべての証明書を取り消した場合にのみ削除できます。

    1. CA を無効にします。

      gcloud privateca roots disable CA_ID --pool=POOL_ID --location=LOCATION

      以下を置き換えます。

      • CA_ID: CA のリソース ID。
      • POOL_ID: CA プールのリソース ID。
      • LOCATION: CA プールのロケーション。ロケーションの完全なリストについては、ロケーションをご覧ください。

    2. CA を削除します。

      gcloud privateca roots delete CA_ID --pool=POOL_ID --location=LOCATION

    CA の状態が Deleted に変わります。CA Service は、削除を開始してから 30 日後に CA を完全に削除します。

  3. CA プールを削除します。

    CA プールを削除できるのは、CA プール内の CA が完全に削除された後のみです。

    gcloud privateca pools delete POOL_ID --location=LOCATION

  4. プロジェクトを削除する。

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

次のステップ