Modificare l'emittente di certificati predefinita

Google Distributed Cloud (GDC) con air gap fornisce un'API dell'infrastruttura a chiave pubblica (PKI) per ottenere certificati web. Questo documento fornisce istruzioni per modificare l'autorità di certificazione predefinita con un'altra autorità di certificazione. Per saperne di più sulle modalità dei certificati PKI, consulta Configurazione dei certificati TLS web.

Questo documento è destinato ai segmenti di pubblico all'interno del gruppo di amministratori della piattaforma che vogliono gestire gli emittenti di certificati. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Prima di iniziare

Prima di modificare l'autorità di certificazione predefinita, devi disporre delle autorizzazioni necessarie e preparare l'ambiente.

Richiedere ruoli IAM

Per creare, aggiornare ed eliminare gli emittenti di certificati, contatta l'amministratore IAM dell'organizzazione per richiedere il ruolo Infra PKI Admin (infra-pki-admin) nello spazio dei nomi di sistema.

prepara l'ambiente

• Scarica e installa gcloud CLI, se non l'hai ancora fatto.

• Installa la CLI kubectl, come descritto in Installare i componenti.

• Genera un file kubeconfig per configurare l'accesso a kubectl.

Modificare l'autorità di certificazione predefinita

1. L'etichetta dell'emittente predefinita è simile all'esempio seguente. Per ogni spazio dei nomi, un CertificateIssuer deve contenere l'etichetta:

   pki.security.gdc.goog/is-default-issuer: 'true'
   

2. Visualizza l'emittente predefinita attuale nello spazio dei nomi pki-system:

   kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true
   

   L'output è simile al seguente:

   NAME                    READY   REASON       ISDEFAULT
   default-tls-ca-issuer   True    CAaaSReady   true
   

3. Modifica l'emittente predefinita esistente e aggiorna l'etichetta dell'emittente predefinita dall'emittente:

   kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'
   

   Sostituisci CURRENT_DEFAULT_ISSUER con il nome dell'autorità di certificazione predefinita corrente.

4. Per impostare il nuovo CertificateIssuer come emittente predefinita, aggiorna l'etichetta:

   kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true
   

   Sostituisci NEW_DEFAULT_ISSUER con il nome della nuova autorità di certificazione predefinita.

Attivare manualmente la riemissione del certificato

Dopo aver cambiato l'autorità di certificazione predefinita, Distributed Cloud non riemetterà automaticamente i certificati firmati dall'autorità di certificazione predefinita precedente, a meno che il certificato non stia per scadere. Per riemettere immediatamente i certificati con il nuovo emittente predefinito, consulta Riemettere manualmente i certificati web PKI.