Se usó la API de Cloud Translation para traducir esta página.

Borrar autoridades certificadoras

Certificate Authority Service te permite borrar una autoridad certificadora (AC) existente. La AC se borra de forma permanente después de un período de gracia de 30 días a partir del momento en que se inicia el proceso de eliminación. Después del durante el período de gracia, el servicio de CA borra de forma permanente la AC y todos los artefactos anidados, como los certificados y las listas de revocación de certificados (CRL).

No se borran los recursos de Google Cloud administrados por el cliente que usaba la AC borrada, como los buckets de Cloud Storage o las claves de Cloud Key Management Service. Para obtener más información sobre los recursos administrados por Google y por el cliente, consulta Administra recursos.

Las AC borradas no se facturan durante el período de gracia. Sin embargo, si restablecer la AC se te cobrará en el nivel de facturación de la AC por el tiempo en que esta existió el estado DELETED

Antes de comenzar

Asegúrate de que cuentas con el Administrador de operaciones del Servicio de CA. (roles/privateca.caManager) o el administrador del servicio de CA (roles/privateca.admin) Identity and Access Management (IAM). Para ver más información sobre los roles de IAM predefinidos CA Service, consulta Control de acceso con la IAM.

Para obtener información sobre cómo otorgar un rol de IAM, consulta Otorga un solo rol .
Asegúrate de que la AC cumpla con las siguientes condiciones:
- La AC debe estar en el estado AWAITING_USER_ACTIVATION, DISABLED o STAGED. Para obtener más información, consulta Estados de las autoridades certificadoras.
Precaución: No puedes recuperar las AC que se borraron en el estado AWAITING_USER_ACTIVATION. Para volver a usar la AC, debes volver a crearla con un nombre diferente.
- La AC no debe contener certificados activos. Te recomendamos que revoques certificados emitidos por la AC antes de borrarla de forma permanente. El Los certificados activos no se pueden revocar después de que la AC se borra de forma permanente.

Cómo borrar una AC

Para iniciar la eliminación de la AC, haz lo siguiente:

Console

Ve a la página de Certificate Authority Service Consola de Google Cloud
Ir a Certificate Authority Service
Haz clic en la pestaña AC manager.
En la lista de AC, selecciona la AC que deseas borrar.
Haz clic en Inhabilitar.

En el cuadro de diálogo que se abre, haz clic en Confirmar.
Haz clic en Borrar.
En el cuadro de diálogo que se abre, haz clic en Confirmar.

gcloud

Verifica el estado de la AC para asegurarte de que esté inhabilitada. Solo puedes borrar las AC que se encuentran en el estado DISABLED.
```
gcloud privateca roots describe CA_ID --pool=POOL_ID \
  --format="value(state)"
```
Reemplaza lo siguiente:
- CA_ID: Es el identificador único de la AC.
- POOL_ID: Es el nombre del grupo de AC que contiene la AC.
Para obtener más información sobre el comando gcloud privateca roots describe, consulta gcloud privateca roots describe.
Si la AC no está inhabilitada, ejecuta el siguiente comando para inhabilitarla la AC.
```
gcloud privateca roots disable CA_ID --pool=POOL_ID
```
Para obtener más información sobre el comando gcloud privateca roots disable, consulta gcloud privateca rootsdisable.
Borra la AC.
```
gcloud privateca roots delete CA_ID --pool=POOL_ID
```
Puedes borrar la AC incluso si tiene certificados activos incluida la marca --ignore-active-certificates en tu gcloud kubectl.

Para obtener más información sobre el comando gcloud privateca roots delete, consulta gcloud privateca roots delete.
Cuando se te solicite, confirma que deseas borrar la AC.

Después de confirmar, se programará la eliminación de la AC y comenzará el período de gracia de 30 días. El comando muestra la fecha y hora esperadas en las que se borrará la AC.
```
Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.
```

Go

Para autenticarte en CA Service, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Delete a Certificate Authority from the specified CA pool.
// Before deletion, the CA must be disabled or staged and must not contain any active certificates.
func deleteCa(w io.Writer, projectId string, location string, caPoolId string, caId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// The id of the CA pool under which the CA is present.
	// caId := "ca-id"				// The id of the CA to be deleted.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	fullCaName := fmt.Sprintf("projects/%s/locations/%s/caPools/%s/certificateAuthorities/%s",
		projectId, location, caPoolId, caId)

	// Check if the CA is disabled or staged.
	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#GetCertificateAuthorityRequest.
	caReq := &privatecapb.GetCertificateAuthorityRequest{Name: fullCaName}
	caResp, err := caClient.GetCertificateAuthority(ctx, caReq)
	if err != nil {
		return fmt.Errorf("GetCertificateAuthority failed: %w", err)
	}

	if caResp.State != privatecapb.CertificateAuthority_DISABLED &&
		caResp.State != privatecapb.CertificateAuthority_STAGED {
		return fmt.Errorf("you can only delete disabled or staged Certificate Authorities. %s is not disabled", caId)
	}

	// Create the DeleteCertificateAuthorityRequest.
	// Setting the IgnoreActiveCertificates to True will delete the CA
	// even if it contains active certificates. Care should be taken to re-anchor
	// the certificates to new CA before deleting.
	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#DeleteCertificateAuthorityRequest.
	req := &privatecapb.DeleteCertificateAuthorityRequest{
		Name:                     fullCaName,
		IgnoreActiveCertificates: false,
	}

	op, err := caClient.DeleteCertificateAuthority(ctx, req)
	if err != nil {
		return fmt.Errorf("DeleteCertificateAuthority failed: %w", err)
	}

	if caResp, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("DeleteCertificateAuthority failed during wait: %w", err)
	}

	if caResp.State != privatecapb.CertificateAuthority_DELETED {
		return fmt.Errorf("unable to delete Certificate Authority. Current state: %s", caResp.State.String())
	}

	fmt.Fprintf(w, "Successfully deleted Certificate Authority: %s.", caId)
	return nil
}

Java


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CertificateAuthority.State;
import com.google.cloud.security.privateca.v1.CertificateAuthorityName;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.DeleteCertificateAuthorityRequest;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class DeleteCertificateAuthority {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: The id of the CA pool under which the CA is present.
    // certificateAuthorityName: The name of the CA to be deleted.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    String certificateAuthorityName = "certificate-authority-name";
    deleteCertificateAuthority(project, location, poolId, certificateAuthorityName);
  }

  // Delete the Certificate Authority from the specified CA pool.
  // Before deletion, the CA must be disabled and must not contain any active certificates.
  public static void deleteCertificateAuthority(
      String project, String location, String poolId, String certificateAuthorityName)
      throws IOException, ExecutionException, InterruptedException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {
      // Create the Certificate Authority Name.
      CertificateAuthorityName certificateAuthorityNameParent =
          CertificateAuthorityName.newBuilder()
              .setProject(project)
              .setLocation(location)
              .setCaPool(poolId)
              .setCertificateAuthority(certificateAuthorityName)
              .build();

      // Check if the CA is enabled.
      State caState =
          certificateAuthorityServiceClient
              .getCertificateAuthority(certificateAuthorityNameParent)
              .getState();
      if (caState == State.ENABLED) {
        System.out.println(
            "Please disable the Certificate Authority before deletion ! Current state: " + caState);
        return;
      }

      // Create the DeleteCertificateAuthorityRequest.
      // Setting the setIgnoreActiveCertificates() to true, will delete the CA
      // even if it contains active certificates. Care should be taken to re-anchor
      // the certificates to new CA before deleting.
      DeleteCertificateAuthorityRequest deleteCertificateAuthorityRequest =
          DeleteCertificateAuthorityRequest.newBuilder()
              .setName(certificateAuthorityNameParent.toString())
              .setIgnoreActiveCertificates(false)
              .build();

      // Delete the Certificate Authority.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient
              .deleteCertificateAuthorityCallable()
              .futureCall(deleteCertificateAuthorityRequest);
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while deleting Certificate Authority !" + response.getError());
        return;
      }

      // Check if the CA has been deleted.
      caState =
          certificateAuthorityServiceClient
              .getCertificateAuthority(certificateAuthorityNameParent)
              .getState();
      if (caState == State.DELETED) {
        System.out.println(
            "Successfully deleted Certificate Authority : " + certificateAuthorityName);
      } else {
        System.out.println(
            "Unable to delete Certificate Authority. Please try again ! Current state: " + caState);
      }
    }
  }
}

Python

import google.cloud.security.privateca_v1 as privateca_v1


def delete_certificate_authority(
    project_id: str, location: str, ca_pool_name: str, ca_name: str
) -> None:
    """
    Delete the Certificate Authority from the specified CA pool.
    Before deletion, the CA must be disabled and must not contain any active certificates.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: the name of the CA pool under which the CA is present.
        ca_name: the name of the CA to be deleted.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()
    ca_path = caServiceClient.certificate_authority_path(
        project_id, location, ca_pool_name, ca_name
    )

    # Check if the CA is enabled.
    ca_state = caServiceClient.get_certificate_authority(name=ca_path).state
    if ca_state != privateca_v1.CertificateAuthority.State.DISABLED:
        print(
            "Please disable the Certificate Authority before deletion ! Current state:",
            ca_state,
        )
        raise RuntimeError(
            f"You can only delete disabled Certificate Authorities. "
            f"{ca_name} is not disabled!"
        )

    # Create the DeleteCertificateAuthorityRequest.
    # Setting the ignore_active_certificates to True will delete the CA
    # even if it contains active certificates. Care should be taken to re-anchor
    # the certificates to new CA before deleting.
    request = privateca_v1.DeleteCertificateAuthorityRequest(
        name=ca_path, ignore_active_certificates=False
    )

    # Delete the Certificate Authority.
    operation = caServiceClient.delete_certificate_authority(request=request)
    result = operation.result()

    print("Operation result", result)

    # Get the current CA state.
    ca_state = caServiceClient.get_certificate_authority(name=ca_path).state

    # Check if the CA has been deleted.
    if ca_state == privateca_v1.CertificateAuthority.State.DELETED:
        print("Successfully deleted Certificate Authority:", ca_name)
    else:
        print(
            "Unable to delete Certificate Authority. Please try again ! Current state:",
            ca_state,
        )

Cómo verificar la fecha de vencimiento de una AC borrada

Para ver cuándo se borrará una AC de forma permanente, haz lo siguiente:

Console

Haz clic en la pestaña Administrador del grupo de AC.
Haz clic en el nombre del grupo de AC que contenía la AC que borraste.

Puedes ver la fecha de vencimiento de la AC en la tabla del grupo de AC. .

Ver la fecha de vencimiento de una AC borrada

gcloud

Para verificar el tiempo de eliminación esperado para una AC, ejecuta el siguiente comando:

gcloud privateca roots describe CA_ID \
  --pool=POOL_ID \
  --format="value(expireTime.date())"

Reemplaza lo siguiente:

CA_ID: Es el nombre de la AC.
POOL_ID: Es el nombre del grupo de AC que contenía la AC.

El comando muestra la fecha y hora esperadas cuando el servicio de CA borra la AC.

2020-08-14T19:28:39

Para verificar que la AC se haya borrado de forma permanente, ejecuta el siguiente comando:

gcloud privateca roots describe CA_ID --pool=POOL_ID

Si la AC se borra correctamente, el comando muestra el siguiente error.

ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found

¿Qué sigue?

Obtén más información sobre cómo restablecer las AC.
Obtén más información sobre los estados de AC.