Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cómo cambiar la entidad emisora de certificados predeterminada

Google Distributed Cloud (GDC) aislado proporciona una API de infraestructura de clave pública (PKI) para obtener certificados web. En este documento, se proporcionan instrucciones para cambiar la entidad emisora de certificados predeterminada por otra. Para obtener más información sobre los modos de certificados de PKI, consulta Configuración de certificados TLS web.

Este documento está dirigido a los públicos dentro del grupo de administradores de la plataforma que desean administrar las entidades emisoras de certificados. Para obtener más información, consulta Públicos de la documentación de Google Distributed Cloud aislado.

Antes de comenzar

Antes de cambiar la entidad emisora de certificados predeterminada, debes tener los permisos necesarios y preparar tu entorno.

Solicita roles de IAM

Para crear, actualizar y borrar entidades emisoras de certificados, comunícate con tu administrador de IAM de la organización y solicita el rol de Administrador de PKI Infra (infra-pki-admin) en el espacio de nombres del sistema.

Prepara el entorno

Descarga y, luego, instala la CLI de gdcloud si aún no lo hiciste.
Instala la CLI de kubectl.
Genera un archivo kubeconfig para configurar el acceso a kubectl.

Cómo cambiar la entidad emisora de certificados predeterminada

La etiqueta predeterminada de la entidad emisora se ve como en el siguiente ejemplo. Para cada espacio de nombres, un CertificateIssuer debe contener la etiqueta:
```
pki.security.gdc.goog/is-default-issuer: 'true'
```

Consulta el emisor predeterminado actual en el espacio de nombres pki-system:

kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true

El resultado es similar al siguiente:

NAME                    READY   REASON       ISDEFAULT
default-tls-ca-issuer   True    CAaaSReady   true

Edita la entidad emisora predeterminada existente y actualiza la etiqueta de la entidad emisora predeterminada desde la entidad emisora:
```
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'
```
Reemplaza CURRENT_DEFAULT_ISSUER por el nombre de la entidad emisora de certificados predeterminada actual.
Para establecer el nuevo CertificateIssuer como entidad emisora predeterminada, actualiza la etiqueta:
```
kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true
```
Reemplaza NEW_DEFAULT_ISSUER por el nombre de la nueva entidad emisora de certificados predeterminada.

Cómo activar manualmente la nueva emisión de certificados

Después de cambiar la entidad emisora de certificados predeterminada, Distributed Cloud no volverá a emitir automáticamente los certificados firmados por la entidad emisora de certificados predeterminada anterior, a menos que el certificado esté a punto de vencer. Para volver a emitir certificados de inmediato con la nueva entidad emisora predeterminada, consulta Cómo volver a emitir certificados web de la PKI de forma manual.

Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.

Última actualización: 2026-06-12 (UTC)