Zertifikate widerrufen

Auf dieser Seite wird erläutert, wie Sie Zertifikate widerrufen.

Certificate Authority Service unterstützt den Widerruf von Zertifikaten durch die regelmäßige Veröffentlichung von Zertifikatssperrlisten (Certificate Revocation Lists, CRLs). Sie können nur Zertifikate widerrufen, die von CA-Pools der Enterprise-Stufe ausgestellt wurden.

Hinweis

Sie benötigen die IAM-Rolle (Identity and Access Management) „Certificate Authority Service Operation Manager“ (roles/privateca.caManager) oder „CA Service Admin“ (roles/privateca.admin). Weitere Informationen zu den vordefinierten IAM-Rollen für den CA Service finden Sie unter Zugriffssteuerung mit IAM.

Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Einzelne Rolle zuweisen.

CRL-Veröffentlichung aktivieren

Wenn Sie die von einem CA-Pool ausgestellten Zertifikate aufheben möchten, müssen Sie die CRL-Veröffentlichung für den CA-Pool aktivieren. Sie können die CRL-Veröffentlichung aktivieren, wenn Sie einen CA-Pool erstellen. Wenn sie anfänglich deaktiviert ist, können Sie die CRL-Veröffentlichung später aktivieren.

Nachdem Sie die CRL-Veröffentlichung aktiviert haben, wird täglich eine neue CRL veröffentlicht, die 7 Tage lang gültig ist. Eine neue CRL wird auch innerhalb von 15 Minuten nach einem neuen Zertifikatswiderruf veröffentlicht.

Zertifikate enthalten eine CRL-Verteilungspunkt-Erweiterung (CRL Distribution Point, CDP), die angibt, wo die CRL-Informationen für das Zertifikat zu finden sind. Wenn Sie die CRL-Veröffentlichung aktivieren, füllt der CA Service standardmäßig die CDP Erweiterung für alle Zertifikate, die von der Zertifizierungsstelle ausgestellt werden, mit dem Cloud Storage-Veröffentlichungsort aus, den die Zertifizierungsstelle verwendet. Wenn Sie eigene Links in dieser Zertifikaterweiterung verwenden möchten, legen Sie die UserDefinedAccessUrls fest. Wenn Sie den Link zum standardmäßigen Cloud Storage-Veröffentlichungsort beibehalten und eigene Links hinzufügen möchten, fügen Sie den Cloud Storage-Link der Liste der von Ihnen angegebenen Links hinzu.

So aktivieren Sie die CRL-Veröffentlichung für einen CA-Pool:

Console

  1. Rufen Sie in der Google Cloud Console die Certificate Authority Service Seite auf.

    Certificate Authority Service

  2. Klicken Sie auf den Tab CA-Poolmanager.

  3. Klicken Sie auf den CA-Pool, den Sie bearbeiten möchten, oder auf den CA-Pool mit der Zertifizierungsstelle, die Sie bearbeiten möchten.

  4. Klicken Sie auf der Seite CA-Pool auf .

    Bearbeiten.

  5. Klicken Sie auf Weiter , bis Sie zum Abschnitt Veröffentlichungsoptionen konfigurieren gelangen.

  6. Klicken Sie auf den Ein/Aus-Button CRL im GCS-Bucket für CAs in diesem Pool veröffentlichen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools update POOL_ID --location LOCATION --publish-crl

Ersetzen Sie Folgendes:

  • POOL_ID: der Name des CA-Pools
  • LOCATION: der Standort des CA-Pools. Die vollständige Liste der Standorte finden Sie unter Standorte.

Weitere Informationen zum Befehl gcloud privateca pools update finden Sie unter gcloud privateca pools update.

Der CA Service erzwingt ein Limit von 500.000 nicht abgelaufenen widerrufenen Zertifikaten pro CRL.

Nur die letzten 100 CRLs in chronologischer Reihenfolge werden als CertificateRevocationList -Ressourcen beibehalten. Ältere CRLs werden automatisch gelöscht. Die Aufbewahrung älterer CRLs in von Kunden verwalteten Cloud Storage-Buckets unterliegt der Objekt-Versionsverwaltung und den Aufbewahrungsrichtlinien, die von Kunden konfiguriert wurden.
Beachten Sie, dass auf CRLs, die aus dem CA Service gelöscht wurden, weiterhin über von Google verwaltete Cloud Storage-Buckets zugegriffen werden kann, es sei denn, die Zertifizierungsstelle wird gelöscht. CRLs werden niemals aus von Kunden verwalteten Cloud Storage-Buckets gelöscht, auch wenn die Zertifizierungsstelle gelöscht wird.

Zertifikat widerrufen

Der CA Service ermöglicht das Widerrufen von Zertifikaten anhand der Seriennummer oder des Ressourcennamens. Außerdem kann optional ein Grund angegeben werden. Nachdem ein Zertifikat widerrufen wurde, werden seine Seriennummer und der Grund für den Widerruf in allen zukünftigen CRLs angezeigt, bis das Zertifikat abläuft. Außerdem wird innerhalb von 15 Minuten nach dem Widerruf eine CRL außerhalb des regulären Zeitplans generiert.

So widerrufen Sie ein Zertifikat:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab Privater Zertifikatmanager.
  3. Klicken Sie in der Liste der Zertifikate in der Zeile des Zertifikats, das Sie löschen möchten, auf Mehr ansehen.
  4. Klicken Sie auf Aufheben.
  5. Klicken Sie im Dialogfeld, das geöffnet wird, auf Bestätigen.

gcloud

  • Führen Sie den folgenden Befehl aus, um ein Zertifikat anhand seines Ressourcennamens zu widerrufen:

    gcloud privateca certificates revoke \
    --certificate CERT_ID \
    --issuer-pool POOL_ID \
    --issuer-location ISSUER_LOCATION \
    --reason REVOCATION_REASON

    Ersetzen Sie Folgendes:

    • CERT_ID: die eindeutige ID des Zertifikats, das Sie widerrufen möchten
    • POOL_ID: der Name des CA-Pools, der das Zertifikat ausgestellt hat
    • ISSUER_LOCATION: der Standort des ausstellenden CA-Pools
    • REVOCATION_REASON: der Grund für den Widerruf des Zertifikats

    Das Flag --reason ist optional. Weitere Informationen zu diesem Flag finden Sie unter --reason oder verwenden Sie den folgenden gcloud Befehl mit dem --help Flag:

    gcloud privateca certificates revoke --help

    Weitere Informationen zum gcloud privateca certificates revoke Befehl finden Sie unter gcloud privateca certificates revoke.

  • Führen Sie den folgenden Befehl aus, um ein Zertifikat anhand seiner Seriennummer zu widerrufen:

    gcloud privateca certificates revoke \
    --serial-number SERIAL_NUMBER \
    --issuer-pool POOL_ID \
    --issuer-location ISSUER_LOCATION \
    --reason REVOCATION_REASON

    Ersetzen Sie Folgendes:

    • SERIAL_NUMBER: die Seriennummer des Zertifikats
    • POOL_ID: der Name des CA-Pools, der das Zertifikat ausgestellt hat
    • ISSUER_LOCATION: der Standort des ausstellenden CA-Pools
    • REVOCATION_REASON: der Grund für den Widerruf des Zertifikats

    Weitere Informationen zum gcloud privateca certificates revoke Befehl finden Sie unter gcloud privateca certificates revoke.

    Wenn Sie zur Bestätigung aufgefordert werden, können Sie dies tun, indem Sie „Y“ eingeben:

    You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID]

Do you want to continue? (Y/n) Y
Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.

Go

Richten Sie zur Authentifizierung beim CA Service die Standardanmeldedaten für Anwendungen (ADC) ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Revoke an issued certificate. Once revoked, the certificate will become invalid
// and will expire post its lifetime.
func revokeCertificate(
	w io.Writer,
	projectId string,
	location string,
	caPoolId string,
	certId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"		// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"			// The CA Pool id in which the certificate exists.
	// certId := "certificate"			// A unique name for the certificate.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	fullCertName := fmt.Sprintf("projects/%s/locations/%s/caPools/%s/certificates/%s", projectId, location,
		caPoolId, certId)

	// Create the RevokeCertificateRequest and specify the appropriate revocation reason.
	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#RevokeCertificateRequest.
	req := &privatecapb.RevokeCertificateRequest{
		Name:   fullCertName,
		Reason: privatecapb.RevocationReason_PRIVILEGE_WITHDRAWN,
	}

	_, err = caClient.RevokeCertificate(ctx, req)
	if err != nil {
		return fmt.Errorf("RevokeCertificate failed: %w", err)
	}

	fmt.Fprintf(w, "Certificate %s revoked", certId)

	return nil
}

Java

Richten Sie zur Authentifizierung beim CA Service die Standardanmeldedaten für Anwendungen (ADC) ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.Certificate;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateName;
import com.google.cloud.security.privateca.v1.RevocationReason;
import com.google.cloud.security.privateca.v1.RevokeCertificateRequest;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class RevokeCertificate {

  public static void main(String[] args)
      throws IOException, ExecutionException, InterruptedException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Id for the CA pool which contains the certificate.
    // certificateName: Name of the certificate to be revoked.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    String certificateName = "certificate-name";
    revokeCertificate(project, location, poolId, certificateName);
  }

  // Revoke an issued certificate. Once revoked, the certificate will become invalid and will expire
  // post its lifetime.
  public static void revokeCertificate(
      String project, String location, String poolId, String certificateName)
      throws IOException, ExecutionException, InterruptedException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      // Create Certificate Name.
      CertificateName certificateNameParent =
          CertificateName.newBuilder()
              .setProject(project)
              .setLocation(location)
              .setCaPool(poolId)
              .setCertificate(certificateName)
              .build();

      // Create Revoke Certificate Request and specify the appropriate revocation reason.
      RevokeCertificateRequest revokeCertificateRequest =
          RevokeCertificateRequest.newBuilder()
              .setName(certificateNameParent.toString())
              .setReason(RevocationReason.PRIVILEGE_WITHDRAWN)
              .build();

      // Revoke certificate.
      ApiFuture<Certificate> response =
          certificateAuthorityServiceClient
              .revokeCertificateCallable()
              .futureCall(revokeCertificateRequest);
      Certificate certificateResponse = response.get();

      System.out.println("Certificate Revoked: " + certificateResponse.getName());
    }
  }
}

Python

Richten Sie zur Authentifizierung beim CA Service die Standardanmeldedaten für Anwendungen (ADC) ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 


import google.cloud.security.privateca_v1 as privateca_v1


def revoke_certificate(
    project_id: str,
    location: str,
    ca_pool_name: str,
    certificate_name: str,
) -> None:
    """
    Revoke an issued certificate. Once revoked, the certificate will become invalid and will expire post its lifetime.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: name for the CA pool which contains the certificate.
        certificate_name: name of the certificate to be revoked.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    # Create Certificate Path.
    certificate_path = caServiceClient.certificate_path(
        project_id, location, ca_pool_name, certificate_name
    )

    # Create Revoke Certificate Request and specify the appropriate revocation reason.
    request = privateca_v1.RevokeCertificateRequest(
        name=certificate_path, reason=privateca_v1.RevocationReason.PRIVILEGE_WITHDRAWN
    )
    result = caServiceClient.revoke_certificate(request=request)

    print("Certificate revoke result:", result)

Nächste Schritte