Eliminar autoridades de certificación

El servicio de autoridades de certificación te permite eliminar una autoridad de certificación. La AC se elimina definitivamente tras un periodo de gracia de 30 días desde que se inicia el proceso de eliminación. Una vez transcurrido el periodo de gracia, el servicio de AC elimina permanentemente la AC y todos los artefactos anidados, como los certificados y las listas de revocación de certificados (CRL).

Los recursos gestionados por el cliente Google Cloud que utilizaba la AC eliminada, como los cubos de Cloud Storage o las claves de Cloud Key Management Service, no se eliminan. Para obtener más información sobre los recursos gestionados por Google y por los clientes, consulte Gestionar recursos.

No se factura una CA eliminada durante el periodo de gracia. Sin embargo, si restauras la CA, se te cobrará según el nivel de facturación de la CA durante el tiempo que haya estado en el estado DELETED.

Antes de empezar

  • Asegúrate de tener el rol Gestor operativo del Servicio de Autoridades de Certificación (roles/privateca.caManager) o Administrador del Servicio de Autoridades de Certificación (roles/privateca.admin) de Gestión de Identidades y Accesos (IAM). Para obtener más información sobre los roles de gestión de identidades y accesos predefinidos para el servicio de CA, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.

    Para obtener información sobre cómo conceder un rol de gestión de identidades y accesos, consulta el artículo sobre cómo conceder un solo rol.

  • Asegúrate de que la autoridad de certificación cumpla las siguientes condiciones:

    • La AC no debe contener certificados activos. Un certificado se considera activo cuando cumple las siguientes condiciones:

    • El certificado tiene fechas de inicio y de finalización válidas.

    • El certificado no se ha revocado.

    • El dispositivo o el sistema que usa el certificado confía en la autoridad de certificación (CA) que lo emitió.

    Antes de eliminar la AC, asegúrate de que se hayan revocado todos los certificados activos que haya emitido. No puedes revocar certificados de una AC eliminada.

Eliminar una CA

Para iniciar la eliminación de una CA, siga estos pasos:

Consola

  1. Ve a la página Autoridades de certificación de la consola de Google Cloud .

    Ve a Autoridades de certificación.

  2. En la lista de autoridades de certificación, selecciona la que quieras eliminar.
  3. Haz clic en Eliminar. Aparecerá el cuadro de diálogo Eliminar autoridad de certificación.
  4. Opcional: Marca una o ambas casillas siguientes si se aplican a tu caso:

    • Eliminar esta AC, aunque haya certificados activos

      Esta opción te permite eliminar una AC con certificados activos. Si eliminas una AC con certificados activos, es posible que los sitios web, las aplicaciones o los sistemas que dependan de esos certificados fallen. Te recomendamos que revoques todos los certificados activos emitidos por una CA antes de eliminarla.

    • Saltarme el periodo de gracia de 30 días y eliminar esta AC inmediatamente

      El periodo de gracia de 30 días te da tiempo para revocar todos los certificados emitidos por esta CA y verificar que ningún sistema depende de ella. Te recomendamos que uses esta opción solo en entornos de prueba o que no sean de producción para evitar posibles interrupciones y pérdidas de datos.

  5. Haz clic en Confirmar.

gcloud

  1. Comprueba el estado de la CA para asegurarte de que esté inhabilitada. Solo puedes eliminar las autoridades de certificación que estén en estado DISABLED.

    gcloud privateca roots describe CA_ID --pool=POOL_ID --location=LOCATION --format="value(state)"

    Haz los cambios siguientes:

    • CA_ID: identificador único de la CA.
    • POOL_ID: nombre del grupo de autoridades de certificación que contiene la autoridad de certificación.
    • LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.

    Para obtener más información sobre el comando gcloud privateca roots describe, consulta gcloud privateca roots describe.

  2. Si la AC no está inhabilitada, ejecuta el siguiente comando para inhabilitarla.

    gcloud privateca roots disable CA_ID --pool=POOL_ID --location=LOCATION

    Para obtener más información sobre el comando gcloud privateca roots disable, consulta gcloud privateca roots disable.

  3. Elimina la AC.

    gcloud privateca roots delete CA_ID --pool=POOL_ID --location=LOCATION

    Puedes eliminar la AC aunque tenga certificados activos. Para ello, incluye la marca --ignore-active-certificates en el comando gcloud.

    Para obtener más información sobre el comando gcloud privateca roots delete, consulta gcloud privateca roots delete.

  4. Cuando se te pida, confirma que quieres eliminar la autoridad certificadora.

    Después de confirmar, la CA se programará para su eliminación y comenzará el periodo de gracia de 30 días. El comando muestra la fecha y la hora previstas para eliminar la CA.

        Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.

Go

Para autenticarte en el servicio de AC, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta el artículo Configurar la autenticación en un entorno de desarrollo local. 

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Delete a Certificate Authority from the specified CA pool.
// Before deletion, the CA must be disabled or staged and must not contain any active certificates.
func deleteCa(w io.Writer, projectId string, location string, caPoolId string, caId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// The id of the CA pool under which the CA is present.
	// caId := "ca-id"				// The id of the CA to be deleted.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	fullCaName := fmt.Sprintf("projects/%s/locations/%s/caPools/%s/certificateAuthorities/%s",
		projectId, location, caPoolId, caId)

	// Check if the CA is disabled or staged.
	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#GetCertificateAuthorityRequest.
	caReq := &privatecapb.GetCertificateAuthorityRequest{Name: fullCaName}
	caResp, err := caClient.GetCertificateAuthority(ctx, caReq)
	if err != nil {
		return fmt.Errorf("GetCertificateAuthority failed: %w", err)
	}

	if caResp.State != privatecapb.CertificateAuthority_DISABLED &&
		caResp.State != privatecapb.CertificateAuthority_STAGED {
		return fmt.Errorf("you can only delete disabled or staged Certificate Authorities. %s is not disabled", caId)
	}

	// Create the DeleteCertificateAuthorityRequest.
	// Setting the IgnoreActiveCertificates to True will delete the CA
	// even if it contains active certificates. Care should be taken to re-anchor
	// the certificates to new CA before deleting.
	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#DeleteCertificateAuthorityRequest.
	req := &privatecapb.DeleteCertificateAuthorityRequest{
		Name:                     fullCaName,
		IgnoreActiveCertificates: false,
	}

	op, err := caClient.DeleteCertificateAuthority(ctx, req)
	if err != nil {
		return fmt.Errorf("DeleteCertificateAuthority failed: %w", err)
	}

	if caResp, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("DeleteCertificateAuthority failed during wait: %w", err)
	}

	if caResp.State != privatecapb.CertificateAuthority_DELETED {
		return fmt.Errorf("unable to delete Certificate Authority. Current state: %s", caResp.State.String())
	}

	fmt.Fprintf(w, "Successfully deleted Certificate Authority: %s.", caId)
	return nil
}

Java

Para autenticarte en el servicio de AC, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta el artículo Configurar la autenticación en un entorno de desarrollo local. 


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CertificateAuthority.State;
import com.google.cloud.security.privateca.v1.CertificateAuthorityName;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.DeleteCertificateAuthorityRequest;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class DeleteCertificateAuthority {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: The id of the CA pool under which the CA is present.
    // certificateAuthorityName: The name of the CA to be deleted.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    String certificateAuthorityName = "certificate-authority-name";
    deleteCertificateAuthority(project, location, poolId, certificateAuthorityName);
  }

  // Delete the Certificate Authority from the specified CA pool.
  // Before deletion, the CA must be disabled and must not contain any active certificates.
  public static void deleteCertificateAuthority(
      String project, String location, String poolId, String certificateAuthorityName)
      throws IOException, ExecutionException, InterruptedException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {
      // Create the Certificate Authority Name.
      CertificateAuthorityName certificateAuthorityNameParent =
          CertificateAuthorityName.newBuilder()
              .setProject(project)
              .setLocation(location)
              .setCaPool(poolId)
              .setCertificateAuthority(certificateAuthorityName)
              .build();

      // Check if the CA is enabled.
      State caState =
          certificateAuthorityServiceClient
              .getCertificateAuthority(certificateAuthorityNameParent)
              .getState();
      if (caState == State.ENABLED) {
        System.out.println(
            "Please disable the Certificate Authority before deletion ! Current state: " + caState);
        return;
      }

      // Create the DeleteCertificateAuthorityRequest.
      // Setting the setIgnoreActiveCertificates() to true, will delete the CA
      // even if it contains active certificates. Care should be taken to re-anchor
      // the certificates to new CA before deleting.
      DeleteCertificateAuthorityRequest deleteCertificateAuthorityRequest =
          DeleteCertificateAuthorityRequest.newBuilder()
              .setName(certificateAuthorityNameParent.toString())
              .setIgnoreActiveCertificates(false)
              .build();

      // Delete the Certificate Authority.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient
              .deleteCertificateAuthorityCallable()
              .futureCall(deleteCertificateAuthorityRequest);
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while deleting Certificate Authority !" + response.getError());
        return;
      }

      // Check if the CA has been deleted.
      caState =
          certificateAuthorityServiceClient
              .getCertificateAuthority(certificateAuthorityNameParent)
              .getState();
      if (caState == State.DELETED) {
        System.out.println(
            "Successfully deleted Certificate Authority : " + certificateAuthorityName);
      } else {
        System.out.println(
            "Unable to delete Certificate Authority. Please try again ! Current state: " + caState);
      }
    }
  }
}

Python

Para autenticarte en el servicio de AC, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta el artículo Configurar la autenticación en un entorno de desarrollo local. 

import google.cloud.security.privateca_v1 as privateca_v1


def delete_certificate_authority(
    project_id: str, location: str, ca_pool_name: str, ca_name: str
) -> None:
    """
    Delete the Certificate Authority from the specified CA pool.
    Before deletion, the CA must be disabled and must not contain any active certificates.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: the name of the CA pool under which the CA is present.
        ca_name: the name of the CA to be deleted.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()
    ca_path = caServiceClient.certificate_authority_path(
        project_id, location, ca_pool_name, ca_name
    )

    # Check if the CA is enabled.
    ca_state = caServiceClient.get_certificate_authority(name=ca_path).state
    if ca_state != privateca_v1.CertificateAuthority.State.DISABLED:
        print(
            "Please disable the Certificate Authority before deletion ! Current state:",
            ca_state,
        )
        raise RuntimeError(
            f"You can only delete disabled Certificate Authorities. "
            f"{ca_name} is not disabled!"
        )

    # Create the DeleteCertificateAuthorityRequest.
    # Setting the ignore_active_certificates to True will delete the CA
    # even if it contains active certificates. Care should be taken to re-anchor
    # the certificates to new CA before deleting.
    request = privateca_v1.DeleteCertificateAuthorityRequest(
        name=ca_path, ignore_active_certificates=False
    )

    # Delete the Certificate Authority.
    operation = caServiceClient.delete_certificate_authority(request=request)
    result = operation.result()

    print("Operation result", result)

    # Get the current CA state.
    ca_state = caServiceClient.get_certificate_authority(name=ca_path).state

    # Check if the CA has been deleted.
    if ca_state == privateca_v1.CertificateAuthority.State.DELETED:
        print("Successfully deleted Certificate Authority:", ca_name)
    else:
        print(
            "Unable to delete Certificate Authority. Please try again ! Current state:",
            ca_state,
        )

Comprobar la fecha de vencimiento de una AC eliminada

Para ver cuándo se eliminará permanentemente una CA, sigue estos pasos:

Consola

  1. Haga clic en la pestaña Gestor de grupos de ACs.
  2. Haga clic en el nombre del grupo de CAs que contenía la CA que ha eliminado.

Puede ver la fecha de vencimiento de la AC en la tabla de la página Grupo de ACs.

Ver la fecha de vencimiento de una AC eliminada.

gcloud

Para comprobar la hora de eliminación prevista de una CA, ejecuta el siguiente comando:

gcloud privateca roots describe CA_ID \
    --pool=POOL_ID \
    --location=LOCATION \
    --format="value(expireTime.date())"

Haz los cambios siguientes:

  • CA_ID: el nombre de la autoridad de certificación.
  • POOL_ID: el nombre del grupo de autoridades de certificación que contenía la autoridad de certificación.
  • LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.

El comando devuelve la fecha y la hora esperadas cuando el servicio de la CA elimina la CA.

2020-08-14T19:28:39

Para verificar que la AC se ha eliminado de forma permanente, ejecuta el siguiente comando:

gcloud privateca roots describe CA_ID --pool=POOL_ID --location=LOCATION

Si la CA se elimina correctamente, el comando devuelve el siguiente error.

ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found

Siguientes pasos