ביטול אישורים
בדף הזה מוסבר איך לבטל אישורים.
Certificate Authority Service תומך בביטול אישורים על ידי פרסום תקופתי של רשימות אישורים שבוטלו (CRL). אפשר לבטל רק אישורים שהונפקו על ידי מאגרי CA ברמת Enterprise.
לפני שמתחילים
מוודאים שיש לכם את התפקיד 'מנהל תפעול של Certificate Authority Service' (roles/privateca.caManager) או 'אדמין של Certificate Authority Service' (roles/privateca.admin) בניהול זהויות והרשאות גישה (IAM). מידע נוסף על התפקידים המוגדרים מראש ב-IAM עבור CA Service זמין במאמר בקרת גישה באמצעות IAM.
במאמר הקצאת תפקיד יחיד מוסבר איך מקצים תפקיד ב-IAM.
הפעלת פרסום של CRL
כדי לבטל את האישורים שהונפקו על ידי מאגר CA, צריך להפעיל פרסום של CRL במאגר ה-CA. אפשר להפעיל פרסום של CRL במהלך יצירת מאגר CA. אם השבתתם את הפרסום של CRL בהתחלה, תוכלו להפעיל אותו בהמשך.
אחרי שמפעילים את הפרסום של CRL, מתפרסם CRL חדש מדי יום והוא תקף למשך 7 ימים. גם רשימת CRL חדשה מתפרסמת תוך 15 דקות מכל ביטול חדש של אישור.
האישורים מכילים תוסף של נקודת הפצה של CRL (CDP) שמציין איפה אפשר למצוא את פרטי ה-CRL של האישור. כברירת מחדל, כשמפעילים פרסום של CRL, שירות CA מאכלס את התוסף CDP לכל האישורים שהונפקו על ידי ה-CA עם מיקום הפרסום ב-Cloud Storage שבו ה-CA משתמש. כדי להגדיר קישורים משלכם שיופיעו בתוסף האישור הזה, צריך להגדיר את UserDefinedAccessUrls. כדי לשמור את הקישור למיקום ברירת המחדל לפרסום ב-Cloud Storage וגם להוסיף קישורים משלכם, צריך להוסיף את הקישור ל-Cloud Storage לרשימת הקישורים שאתם מציינים.
כדי להפעיל פרסום של CRL במאגר CA:
המסוף
נכנסים לדף Certificate Authority Service במסוףGoogle Cloud .
לוחצים על הכרטיסייה CA Pool Manager (ניהול מאגרים של רשויות אישורים).
לוחצים על מאגר האישורים שרוצים לערוך או על מאגר האישורים שכולל את האישור שרוצים לערוך.
בדף מאגר הרשות שמנפיקה את האישורים, לוחצים על .
עריכה.
לוחצים על הבא עד שמגיעים לקטע הגדרת אפשרויות הפרסום.
לוחצים על המתג פרסום CRL בדלי GCS עבור רשויות אישורים במאגר הזה.
gcloud
מריצים את הפקודה הבאה:
gcloud privateca pools update POOL_ID --location LOCATION --publish-crl
מחליפים את מה שכתוב בשדות הבאים:
- POOL_ID: השם של מאגר רשויות האישורים
- LOCATION: המיקום של מאגר אישורי ה-CA. כאן מפורטת רשימת המיקומים המלאה.
מידע נוסף על הפקודה gcloud privateca pools update זמין במאמר gcloud privateca pools update.
שירות CA אוכף הגבלה של 500,000 אישורים שבוטלו ולא פג תוקפם לכל CRL.
רק 100 הרשימות האחרונות של אישורים שבוטלו בסדר כרונולוגי נשמרות כמשאבי CertificateRevocationList, ורשימות ישנות יותר נמחקות באופן אוטומטי. השמירה של רשימות CRL ישנות בקטגוריות Cloud Storage שמנוהלות על ידי הלקוח כפופה לניהול הגרסאות של האובייקטים ולמדיניות השמירה שהוגדרה על ידי הלקוחות.
שימו לב: עדיין אפשר לגשת לרשימות CRL שנמחקו מ-CA Service מקטגוריות Cloud Storage שמנוהלות על ידי השירות, אלא אם רשות האישורים נמחקת. רשימות CRL אף פעם לא נמחקות מקטגוריות של Cloud Storage שמנוהלות על ידי הלקוח, גם אם רשות האישורים נמחקת.
ביטול אישור
שירות CA מאפשר לבטל אישורים לפי מספר סידורי או שם משאב, ומקבל גם סיבה אופציונלית. אחרי שמבטלים אישור, המספר הסידורי שלו והסיבה לביטול מופיעים בכל רשימות ה-CRL העתידיות עד שהתוקף של האישור יפוג. רשימת CRL מחוץ למסגרת נוצרת גם היא תוך 15 דקות מביטול האישור.
כדי לבטל אישור, מבצעים את השלבים הבאים:
המסוף
- נכנסים לדף Certificate Authority Service במסוף Google Cloud .
- לוחצים על הכרטיסייה ניהול אישורים פרטיים.
- ברשימת האישורים, לוחצים על הצגת פרטים נוספים בשורה של האישור שרוצים למחוק.
- לוחצים על ביטול.
- בתיבת הדו-שיח שנפתחת, לוחצים על אישור.
gcloud
כדי לבטל אישור באמצעות שם המשאב שלו, מריצים את הפקודה הבאה:
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --issuer-location ISSUER_LOCATION \ --reason REVOCATION_REASONמחליפים את מה שכתוב בשדות הבאים:
- CERT_ID: המזהה הייחודי של האישור שרוצים לבטל
- POOL_ID: שם מאגר ה-CA שהנפיק את האישור
- ISSUER_LOCATION: המיקום של מאגר רשויות האישורים המנפיקות
- REVOCATION_REASON: הסיבה לביטול האישור
הדגל
--reasonהוא אופציונלי. למידע נוסף על הדגל הזה, אפשר לעיין במאמר בנושא --reason, או להשתמש בפקודהgcloudהבאה עם הדגל--help:gcloud privateca certificates revoke --helpמידע נוסף על הפקודה
gcloud privateca certificates revokeזמין במאמר gcloud privateca certificates revoke.כדי לבטל אישור באמצעות המספר הסידורי שלו, מריצים את הפקודה הבאה:
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --issuer-location ISSUER_LOCATION \ --reason REVOCATION_REASONמחליפים את מה שכתוב בשדות הבאים:
- SERIAL_NUMBER: המספר הסידורי של האישור
- POOL_ID: השם של מאגר רשויות האישורים שהנפיק את האישור
- ISSUER_LOCATION: המיקום של מאגר רשויות האישורים המנפיקות
- REVOCATION_REASON: הסיבה לביטול האישור
מידע נוסף על הפקודה
gcloud privateca certificates revokeזמין במאמר gcloud privateca certificates revoke.כשמופיעה בקשה לאישור, מזינים Y:
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
המשך
כדי לבצע אימות ב-CA Service, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Java
כדי לבצע אימות ב-CA Service, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
כדי לבצע אימות ב-CA Service, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.