Emitir um certificado usando o console Google Cloud
Nesta página, explicamos como gerar ou emitir certificados usando o Certificate Authority Service no console Google Cloud .
O CA Service permite implantar e gerenciar autoridades de certificação (ACs) particulares sem precisar gerenciar a infraestrutura.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Certificate Authority Service API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Certificate Authority Service API.
Criar um pool de CA
Um pool de ACs é uma coleção de várias ACs. Um pool de ACs oferece a capacidade de alternar as cadeias de confiança sem interrupções ou inatividade das cargas de trabalho. Um pool de CAs fica em um único Google Cloud local que não pode ser alterado após a criação.
Para criar um pool de CA com as configurações padrão, faça o seguinte:
Acesse a página Serviço de autoridade certificadora no Google Cloud console.
Na guia Gerenciador de pools de CA, clique em Criar pool.
Na página Criar pool de CA, adicione um nome para o pool de CA.
Clique em Região e selecione us-east1 (Carolina do Sul) como a região do pool de ACs.
Clique em Próxima em cada etapa.
Clique em Concluído.
Esse pool de CAs aparece na lista de pools de CAs na guia Gerenciador de pools de CAs.
Crie uma AC raiz:
Um pool de CAs é criado vazio. É necessário adicionar uma CA ao pool de CAs para solicitar certificados.
Uma CA raiz tem um certificado autoassinado que reside no armazenamento de confiança do cliente. Esta seção explica como adicionar uma CA raiz ao pool de CAs que você criou.
Para adicionar uma CA raiz ao pool de CAs, faça o seguinte:
- Na página Serviço de autoridade de certificação, clique em Gerenciador de CA.
- Clique na seta de expansão Criar CA e selecione Criar CA em um pool de CAs atual.
- Selecione o pool de CAs que você criou na etapa anterior.
- Clique em Continuar.
- Na seção Selecionar tipo de CA, clique em Continuar.
- No campo Organização (O), insira o nome da sua organização.
- No campo Nome comum da CA (CN), insira o nome da CA. Anote o nome da CA, porque você vai precisar dele para solicitar um certificado.
- Clique em Continuar em cada etapa.
- Revise os detalhes da CA e clique em Concluído.
Opcional: criar um pool de CA subordinada
Com um pool de CAs subordinadas, você organiza e gerencia várias CAs subordinadas. A CA raiz valida e assina todas as CAs em um pool de CA subordinada.
Para criar um pool de CA subordinada com as configurações padrão, faça o seguinte:
- Na página Serviço de autoridade de certificação, clique em Gerenciador de pools de CA.
- Clique em Criar pool.
Na página Criar pool de CA, adicione um nome para o pool de CA subordinada.
Clique em Região e selecione us-east1 (Carolina do Sul) como a região do pool de ACs subordinado.
Clique em Próxima em cada etapa.
Clique em Concluído.
Verifique se o pool de CA subordinada está disponível na lista de pools de CA na guia Gerenciador de pools de CA.
Opcional: crie uma CA subordinada assinada por uma CA raiz armazenada em Google Cloud
As CAs subordinadas são responsáveis por distribuir certificados para as entidades finais que precisam deles, como servidores da Web, usuários e dispositivos. As CAs subordinadas criam uma camada de separação entre a CA raiz altamente sensível e a emissão de certificados diária.
Para gerar uma CA subordinada assinada por uma CA raiz que você criou antes, faça o seguinte:
- Na página Serviço de autoridade de certificação, clique em Gerenciador de CA.
- Clique na seta de expansão Criar CA e selecione Criar CA em um pool de CAs atual.
- Selecione o pool de CAs subordinadas que você criou.
- Clique em Continuar.
- Clique em CA subordinada.
- Clique em A CA raiz está em Google Cloud.
- No campo Autoridade de certificação de assinatura, clique em Procurar.
- Na caixa de diálogo Selecionar uma CA, escolha a CA raiz que você criou na seção anterior.
- Clique em Confirmar.
- No campo Válido por, insira a duração em que você quer que o certificado da AC subordinada seja válido.
- Clique em Continuar.
- No campo Organização (O), insira o nome da sua organização.
- No campo Nome comum da CA (CN), insira o nome da CA subordinada. Anote o nome da CA subordinada porque você vai precisar dele para solicitar um certificado.
- Clique em Continuar em cada etapa.
- Revise os detalhes da CA subordinada e clique em Concluído.
Solicitar um certificado
Para solicitar um certificado usando a CA, faça o seguinte:
- Na página Autoridade de certificação, clique em Solicitar um certificado.
Clique em Inserir detalhes.
Em Adicionar nome de domínio, digite o nome de domínio totalmente qualificado do site que você quer proteger com esse certificado.
Clique em Próxima.
Em Configurar tamanho e algoritmo da chave, clique em Continuar.
O certificado gerado vai aparecer e pode ser copiado ou baixado. Para copiar o certificado, clique em .
Clique em Concluído.
Limpar
Faça uma limpeza revogando o certificado e excluindo o pool de CAs, a CA e o projeto que você criou para este guia de início rápido.
Revogue o certificado.
- Clique na guia Gerenciador de certificados particulares.
- Na lista de certificados, clique em Ver mais na linha do certificado que você quer excluir.
- Clique em Revogar.
- Na caixa de diálogo exibida, clique em Confirmar.
Exclua a CA.
Só é possível excluir uma CA depois de revogar todos os certificados emitidos por ela.
Depois de revogar o certificado, faça o seguinte:
- Na lista de ACs, selecione a que você quer excluir.
- Clique em Excluir. A caixa de diálogo Excluir autoridade certificadora aparece.
-
Opcional: marque uma ou ambas as caixas de seleção a seguir se as condições se aplicarem a você:
-
Excluir esta CA, mesmo se houver certificados ativos
Essa opção permite excluir uma CA com certificados ativos. A exclusão de uma CA com certificados ativos pode causar falhas em sites, aplicativos ou sistemas que dependem desses certificados. Recomendamos revogar todos os certificados ativos emitidos por uma CA antes de excluir a CA.
-
Pule o período de carência de 30 dias e exclua essa CA imediatamente
O período de carência de 30 dias permite revogar todos os certificados emitidos por essa CA e verificar se nenhum sistema depende dela. Recomendamos usar essa opção apenas em ambientes de teste ou que não sejam de produção para evitar possíveis interrupções e perda de dados.
-
- Clique em Confirmar.
O estado da CA muda para
Deleted. A CA é excluída permanentemente 30 dias depois que você inicia a exclusão.Exclua o pool de ACs.
Só é possível excluir um pool de CA depois que o serviço de CA exclui permanentemente a CA.
Depois de excluir a CA no pool de CAs, faça o seguinte:
- Clique na guia Gerenciador de pools de CA.
- Na lista de pools de ACs, selecione o que você quer excluir.
- Clique em Excluir.
- Na caixa de diálogo exibida, clique em Confirmar.
Para excluir o projeto, faça o seguinte:
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
A seguir
- Saiba mais sobre pools de CAs.
- Saiba como criar um pool de ACs.
- Saiba mais sobre como criar CAs.
- Saiba mais sobre solicitar certificados.
- Saiba como controlar o tipo de certificados que um pool de CAs pode emitir.