証明書を取り消す
このページでは、証明書を取り消す方法について説明します。
Certificate Authority Service は、証明書失効リスト(CRL)を定期的に公開することで、証明書の取り消しをサポートしています。取り消すことができるのは、Enterprise ティアの CA プールによって発行された証明書のみです。
準備
Certificate Authority Service オペレーション マネージャー(roles/privateca.caManager)または CA Service 管理者(roles/privateca.admin)の Identity and Access Management(IAM)ロールがあることを確認します。CA Service の事前定義された IAM ロールの詳細については、IAM を使用したアクセス制御をご覧ください。
IAM ロールの付与については、単一のロールを付与するをご覧ください。
CRL 公開を有効にする
CA プールによって発行された証明書を取り消すには、CA プールで CRL 公開を有効にする必要があります。CA プールの作成時に CRL 公開を有効にできます。最初に無効にした場合は、後で CRL 公開を有効にできます。
CRL 公開を有効にすると、新しい CRL が毎日公開され、7 日間有効になります。新しい証明書の取り消しから 15 分以内に、新しい CRL も公開されます。
証明書には、証明書の CRL 情報の場所を指定する CRL 配布ポイント(CDP)拡張機能が含まれています。デフォルトでは、CRL 公開を有効にすると、CA Service は、CA が使用する Cloud Storage の公開場所を使用して、CA によって発行されたすべての証明書の CDP 拡張機能を設定します。この証明書拡張機能に独自のリンクを表示するには、UserDefinedAccessUrls を設定します。デフォルトの Cloud Storage パブリッシュ ロケーションのリンクを保持し、独自のリンクも追加するには、指定するリンクのリストに Cloud Storage リンクを追加します。
CA プールで CRL 公開を有効にするには、次の手順を行います。
コンソール
Google Cloud コンソールの [Certificate Authority Service] ページに移動します。
[CA プール マネージャー] タブをクリックします。
編集する CA プールをクリックするか、編集する CA が含まれている CA プールをクリックします。
[CA プール] ページで、[] をクリックします。
編集。
[パブリッシュ オプションを設定する] セクションが表示されるまで [次へ] をクリックします。
[このプール内の CA の CRL を GCS バケットに公開する] の切り替えボタンをクリックします。
gcloud
次のコマンドを実行します。
gcloud privateca pools update POOL_ID --location LOCATION --publish-crl
以下を置き換えます。
- POOL_ID: CA プールの名前。
- LOCATION: CA プールのロケーション。ロケーションの完全なリストについては、ロケーションをご覧ください。
gcloud privateca pools update コマンドの詳細については、gcloud privateca pools update をご覧ください。
CA Service では、CRL ごとに期限切れになっていない取り消し済みの証明書数の上限が 500,000 に制限されています。
証明書を取り消す
CA Service では、シリアル番号またはリソース名で証明書を取り消すことができます。また、任意の理由も受け入れます。証明書が取り消されると、そのシリアル番号と取り消し理由が、証明書の有効期限が切れるまで、以降のすべての CRL に表示されます。取り消しから 15 分以内に帯域外 CRL も生成されます。
証明書を取り消すには、次の手順を行います。
コンソール
- Google Cloud コンソールの [Certificate Authority Service] ページに移動します。
- [プライベート証明書マネージャー] タブをクリックします。
- 証明書のリストで、削除する証明書の行にある [さらに表示] をクリックします。
- [取り消し] をクリックします。
- 表示されたダイアログで [登録解除] をクリックします。
gcloud
リソース名を使用して証明書を取り消すには、次のコマンドを実行します。
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --issuer-location ISSUER_LOCATION \ --reason REVOCATION_REASON以下を置き換えます。
- CERT_ID: 取り消す証明書の固有識別子。
- POOL_ID: 証明書を発行した CA プールの名前。
- ISSUER_LOCATION: 発行 CA プールのロケーション。
- REVOCATION_REASON: 証明書を取り消す理由。
--reasonフラグは省略可能です。このフラグの詳細については、--reason をご覧になるか、--helpフラグを指定して次のgcloudコマンドを使用してください。gcloud privateca certificates revoke --helpgcloud privateca certificates revokeコマンドの詳細については、gcloud privateca certificates revoke をご覧ください。シリアル番号を使用して証明書を取り消すには、次のコマンドを実行します。
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --issuer-location ISSUER_LOCATION \ --reason REVOCATION_REASON以下を置き換えます。
- SERIAL_NUMBER: 証明書のシリアル番号。
- POOL_ID: 証明書を発行した CA プールの名前。
- ISSUER_LOCATION: 発行 CA プールのロケーション。
- REVOCATION_REASON: 証明書を取り消す理由。
gcloud privateca certificates revokeコマンドの詳細については、gcloud privateca certificates revoke をご覧ください。確認のメッセージが表示されたら、「Y」と入力して確認します。
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
次のステップ
- 証明書の並べ替えとフィルタリング方法を学習する。
- 委任された OCSP レスポンダーを実装する方法を学習する。