Cette page a été traduite par l'API Cloud Translation.

Modifier l'émetteur de certificat par défaut

L'appliance Google Distributed Cloud (GDC) sous air gap fournit une API d'infrastructure à clé publique (PKI) pour obtenir des certificats Web. Cette page explique comment remplacer l'émetteur de certificat par défaut par un autre émetteur. Pour en savoir plus sur les modes de certificat PKI, consultez Configuration des certificats TLS Web.

Avant de commencer

Pour obtenir les autorisations nécessaires pour configurer l'émetteur de certificats PKI par défaut, demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Administrateur PKI de l'infrastructure (infra-pki-admin) dans l'espace de noms système.

Modifier l'émetteur de certificat par défaut

Le libellé d'émetteur par défaut ressemble à l'exemple suivant. Pour chaque espace de noms, un CertificateIssuer doit contenir le libellé suivant :
```
pki.security.gdc.goog/is-default-issuer: 'true'
```

Affichez l'émetteur par défaut actuel dans l'espace de noms pki-system :

kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true

La sortie ressemble à ceci :

NAME                    READY   REASON       ISDEFAULT
default-tls-ca-issuer   True    CAaaSReady   true

Modifiez l'émetteur par défaut existant et mettez à jour son libellé :
```
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'
```
Remplacez CURRENT_DEFAULT_ISSUER par le nom de l'émetteur de certificat par défaut actuel.
Pour définir le nouvel émetteur CertificateIssuer comme émetteur par défaut, mettez à jour le libellé :
```
kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true
```
Remplacez NEW_DEFAULT_ISSUER par le nom du nouvel émetteur de certificats par défaut.

Déclencher manuellement la réémission d'un certificat

Après avoir changé d'émetteur de certificats par défaut, l'appliance GDC air-gapped ne réémettra pas automatiquement les certificats signés par l'émetteur de certificats par défaut précédent, sauf si le certificat est sur le point d'expirer. Pour réémettre immédiatement des certificats avec le nouvel émetteur par défaut, consultez Réémettre manuellement des certificats Web PKI.

Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.

Dernière mise à jour le 2025/10/22 (UTC).