Google Cloud コンソールを使用して証明書を発行する
このページでは、 Google Cloud コンソールを使用して Certificate Authority Service で証明書を生成または発行する方法について説明します。
CA Service を使用すると、インフラストラクチャを管理することなく、プライベート認証局(CA)をデプロイして管理できます。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Certificate Authority Service API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Certificate Authority Service API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. Google Cloud コンソールの [Certificate Authority Service] ページに移動します。
[CA プール マネージャー] タブで、[プールを作成] をクリックします。
[CA プールを作成] ページで、CA プールの名前を追加します。
[リージョン] をクリックし、CA プールのリージョンとして [us-east1(サウスカロライナ)] を選択します。
各ステップで [次へ] をクリックします。
[完了] をクリックします。
- [認証局サービス] ページで、[CA マネージャー] をクリックします。
- [CA を作成] 展開矢印をクリックし、[既存の CA プールに CA を作成] を選択します。
- 前の手順で作成した CA プールを選択します。
- [続行] をクリックします。
- [CA タイプの選択] セクションで、[続行] をクリックします。
- [組織(O)] フィールドに、組織の名前を入力します。
- [CA 共通名(CN)] フィールドに、CA の名前を入力します。証明書をリクエストする際に必要になるため、CA 名をメモしておきます。
- 各ステップで [続行] をクリックします。
- CA の詳細を確認し、[完了] をクリックします。
- [認証局サービス] ページで、[CA プール マネージャー] をクリックします。
- [プールを作成] をクリックします。
[CA プールを作成] ページで、下位 CA プールの名前を追加します。
[リージョン] をクリックし、下位 CA プールのリージョンとして [us-east1(サウスカロライナ)] を選択します。
各ステップで [次へ] をクリックします。
[完了] をクリックします。
- [認証局サービス] ページで、[CA マネージャー] をクリックします。
- [CA を作成] 展開矢印をクリックし、[既存の CA プールに CA を作成] を選択します。
- 作成した下位 CA プールを選択します。
- [続行] をクリックします。
- [下位 CA] をクリックします。
- [ルート CA は Google Cloud内] をクリックします。
- [署名認証局] フィールドで、[参照] をクリックします。
- [CA を選択] ダイアログで、前のセクションで作成したルート CA を選択します。
- [確認] をクリックします。
- [有効期間] フィールドに、下位 CA 証明書の有効期間を入力します。
- [続行] をクリックします。
- [組織(O)] フィールドに、組織の名前を入力します。
- [CA 共通名(CN)] フィールドに、下位 CA の名前を入力します。証明書をリクエストする際に必要になるため、下位 CA の名前をメモしておきます。
- 各ステップで [続行] をクリックします。
- 下位 CA の詳細を確認し、[完了] をクリックします。
- [認証局] ページで、[証明書をリクエスト] をクリックします。
[詳細を入力] をクリックします。
[ドメイン名を追加] に、この証明書で保護するサイトの完全修飾ドメイン名を入力します。
[次へ] をクリックします。
[鍵のサイズとアルゴリズムを構成する] で、[続行] をクリックします。
生成された証明書が表示されます。この証明書はコピーまたはダウンロードできます。証明書をコピーするには、[] をクリックします。
[完了] をクリックします。
証明書を取り消します。
- [プライベート証明書マネージャー] タブをクリックします。
- 証明書のリストで、削除する証明書の行にある [さらに表示] をクリックします。
- [取り消し] をクリックします。
- 表示されたダイアログで [登録解除] をクリックします。
CA を削除します。
CA は、CA が発行したすべての証明書を取り消した場合にのみ削除できます。
証明書を取り消したら、次の操作を行います。
- CA のリストで、削除する CA を選択します。
- [削除] をクリックします。 [認証局の削除] ダイアログが表示されます。
-
省略可: 以下の条件に該当する場合は、いずれかまたは両方のチェックボックスをオンにします。
-
有効な証明書がある場合でも、この CA を削除する
このオプションを使用すると、有効な証明書がある CA を削除できます。有効な証明書を持つ CA を削除すると、それらの証明書に依存するウェブサイト、アプリケーション、システムで障害が発生する可能性があります。CA を削除する前に、CA によって発行されたすべてのアクティブな証明書を取り消すことをおすすめします。
-
30 日の猶予期間をスキップして、この CA を直ちに削除する
30 日間の猶予期間を利用して、この CA によって発行されたすべての証明書を取り消し、この CA に依存するシステムがないことを確認できます。サービス停止やデータ損失を防ぐため、このオプションは非本番環境またはテスト環境でのみ使用することをおすすめします。
-
- [確認] をクリックします。
CA の状態が
Deletedに変わります。CA は、削除を開始してから 30 日後に完全に削除されます。CA プールを削除します。
CA プールを削除できるのは、CA Service が CA を完全に削除した後のみです。
CA プール内の CA を削除したら、次の手順を行います。
- [CA プール マネージャー] タブをクリックします。
- CA プールのリストで、削除する CA プールを選択します。
- [削除] をクリックします。
- 表示されたダイアログ ボックスで [確認] をクリックします。
プロジェクトを削除する手順は次のとおりです。
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
- CA プールの詳細について学習する。
- CA プールの作成の詳細について学習する。
- CA の作成の詳細について学習する。
- 証明書のリクエストの詳細について学習する。
- CA プールが発行できる証明書の種類を制御する方法を学習する。
CA プールを作成します
CA プールは複数の CA の集合です。CA プールには、ワークロードの停止やダウンタイムなしに信頼チェーンをローテーションする機能があります。CA プールは単一の Google Cloud ロケーションに存在し、作成後に変更することはできません。
デフォルト設定で CA プールを作成するには、次の手順を行います。
この CA プールは、[CA プール マネージャー] タブの CA プールのリストに表示されます。
ルート CA を作成する
CA プールは、作成時に空です。証明書をリクエストするには、CA プールに CA を追加する必要があります。
ルート CA には、クライアントのトラストストアに自己署名証明書があります。このセクションでは、作成した CA プールにルート CA を追加する方法について説明します。
ルート CA を CA プールに追加するには、次の手順を行います。
省略可: 下位 CA プールを作成する
下位 CA プールを使用すると、複数の下位 CA を整理して管理できます。ルート CA は、下位 CA プール内のすべての CA を検証して署名します。
デフォルト設定で下位 CA プールを作成するには、次の操作を行います。
[CA プール マネージャー] タブの CA プールのリストに、下位 CA プールが表示されていることを確認します。
省略可: Google Cloudに保存されているルート CA によって署名された下位 CA を作成します。
下位 CA は、ウェブサーバー、ユーザー、デバイスなど、証明書を必要とするエンド エンティティに証明書を配布します。下位 CA は、機密性の高いルート CA と日常的な証明書発行の間に分離レイヤを作成します。
以前に作成したルート CA によって署名された下位 CA を生成するには、次の操作を行います。
証明書をリクエスト
CA を使用して証明書をリクエストするには、次の手順を行います。
クリーンアップ
証明書を取り消し、このクイックスタート用に作成した CA プール、CA、プロジェクトを削除してクリーンアップします。