使用 Google Cloud 控制台签发证书

本页面介绍了如何使用 Google Cloud 控制台通过 Certificate Authority Service 生成或签发证书。

借助 CA Service,您可以部署和管理私有证书授权机构 (CA),而无需管理基础设施。

准备工作

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service API.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service API.

    Enable the API

    8.

创建 CA 池

CA 池是多个 CA 的集合。CA 池能够轮替信任链,而不会中断或停止工作负载。CA 池位于单个Google Cloud 位置,创建后无法更改。

如需使用默认设置创建 CA 池,请执行以下操作:

  1. 前往 Google Cloud 控制台中的 Certificate Authority Service 页面。

    前往 Certificate Authority Service

  2. CA 池管理器标签页下,点击 创建池

  3. 创建 CA 池页面上,为 CA 池添加名称。

  4. 点击区域,然后选择 us-east1(南卡罗来纳)作为 CA 池的区域。

  5. 点击下一步,完成每个步骤。

  6. 点击完成

您可以在 CA 池管理器标签页下的 CA 池列表中看到此 CA 池。

创建根 CA

CA 池在创建时为空。您必须向 CA 池添加 CA 才能请求证书。

根 CA 具有位于客户端的受信任证书存储区中的自签名证书。本部分介绍了如何向您创建的 CA 池添加根 CA。

如需向 CA 池添加根 CA,请执行以下操作:

  1. Certificate Authority Service 页面上,点击 CA 管理器
  2. 点击创建 CA 展开箭头,然后选择在现有 CA 池中创建 CA
  3. 选择您在上一步中创建的 CA 池。
  4. 点击继续
  5. 选择 CA 类型 部分,点击继续
  6. 组织 (O) 字段中,输入您组织的名称。
  7. CA 通用名称 (CN) 字段中,输入 CA 的名称。请记下 CA 名称,因为您在申请证书时需要用到该名称。
  8. 点击每个步骤中的继续
  9. 查看 CA 的详细信息,然后点击完成

可选:创建从属 CA 池

借助从属 CA 池,您可以组织和管理多个从属 CA。根 CA 会验证并签署从属 CA 池中的所有 CA。

如需使用默认设置创建从属 CA 池,请执行以下操作:

  1. Certificate Authority Service 页面上,点击 CA 池管理器
  2. 点击 Create pool(创建池)。

  3. 创建 CA 池页面上,为从属 CA 池添加名称。

  4. 点击区域,然后选择 us-east1(南卡罗来纳)作为下级 CA 池的区域。

  5. 点击下一步,完成每个步骤。

  6. 点击完成

确保从属 CA 池在 CA 池管理器标签页下的 CA 池列表中可用。

可选:创建由存储在 Google Cloud中的根 CA 签名的从属 CA

下级 CA 负责向需要证书的最终实体(例如 Web 服务器、用户和设备)分发证书。从属 CA 在高度敏感的根 CA 与日常证书颁发之间创建了一个隔离层。

如需生成由您之前创建的根 CA 签名的从属 CA,请执行以下操作:

  1. Certificate Authority Service 页面上,点击 CA 管理器
  2. 点击创建 CA 展开箭头,然后选择在现有 CA 池中创建 CA
  3. 选择您创建的从属 CA 池。
  4. 点击继续
  5. 点击从属 CA
  6. 点击 Root CA is in Google Cloud
  7. 签名证书授权机构字段中,点击浏览
  8. 选择 CA 对话框中,选择您在上一部分中创建的根 CA。
  9. 点击确认
  10. 有效期字段中,输入您希望下级 CA 证书的有效期。
  11. 点击继续
  12. 组织 (O) 字段中,输入您组织的名称。
  13. CA 通用名称 (CN) 字段中,输入下级 CA 的名称。 请记下从属 CA 名称,因为您需要使用该名称来申请证书。
  14. 点击每个步骤中的继续
  15. 查看下级 CA 的详细信息,然后点击完成

请求证书

如需使用 CA 请求证书,请执行以下操作:

  1. 证书授权机构页面上,点击申请证书

  2. 点击输入详细信息

    点击“输入详细信息”以申请证书。

  3. 添加域名下,输入您要使用此证书保护的网站的完全限定域名。

  4. 点击下一步

  5. 配置密钥大小和算法下,点击继续

    您会看到生成的证书,您可以复制或下载该证书。如需复制证书,请点击

    复制或下载生成的证书。

  6. 点击完成

清理

撤消证书并删除您为本快速入门创建的 CA 池、CA 和项目,以进行清理。

  1. 撤消证书。

    1. 点击专用证书管理器标签页。
    2. 在证书列表中,点击要删除的证书所在行中的 查看更多
    3. 点击撤消
    4. 在随即打开的对话框中,点击确认

  2. 删除 CA。

    您只能在撤消 CA 颁发的所有证书后才能删除该 CA。

    撤消证书后,请执行以下操作:

    1. 在 CA 列表中,选择要删除的 CA。
    2. 点击 删除。系统会显示删除证书授权机构对话框。
    3. 可选:如果符合以下条件,请选择一个或两个复选框:

      • 删除此 CA(即使存在有效证书)

        此选项可让您删除具有有效证书的 CA。删除具有有效证书的 CA 可能会导致依赖这些证书的网站、应用或系统出现故障。建议您先撤消 CA 颁发的所有有效证书,然后再删除该 CA。

      • 跳过 30 天的宽限期,立即删除此 CA

        30 天的宽限期让您有时间撤消此 CA 颁发的所有证书,并验证没有系统依赖于此 CA。我们建议在非生产或测试环境中使用此选项,以防止可能出现的中断和数据丢失。

    4. 点击确认

    CA 状态更改为 Deleted。您发起删除操作后,CA 会在 30 天后永久删除。

  3. 删除 CA 池。

    只有在 CA 服务永久删除 CA 后,您才能删除 CA 池。

    删除 CA 池中的 CA 后,请执行以下操作:

    1. 点击 CA 池管理器标签页。
    2. 在 CA 池列表中,选择要删除的 CA 池。
    3. 点击 删除
      4. 永久删除 CA 池。
    4. 在随即打开的对话框中,点击确认

  4. 如需删除项目,请执行以下操作:

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

后续步骤