O Google Distributed Cloud (GDC) air-gapped oferece uma API de infraestrutura de chave pública (PKI, na sigla em inglês) para você receber um certificado da Web. Essa API é compatível com vários modos de usuário:
- Totalmente gerenciado: certificados emitidos pela infraestrutura de PKI do GDC e encadeados a uma autoridade certificadora raiz (CA) autoassinada gerenciada pelo GDC.
- Certificado BYO: você fornece um pool de certificados com um certificado curinga padrão. O GDC usa o certificado mais adequado para seu serviço.
- Certificado BYO com ACME: certificados usados por serviços públicos emitidos por seu servidor ACME.
- SubCA BYO: certificados emitidos pela infraestrutura de PKI do GDC e encadeados à sua SubCA. Você precisa fornecer a SubCA e permitir que o GDC a opere.
Definições do modo Infra PKI
Esta seção oferece uma explicação detalhada de cada modo de usuário de PKI.
Modo totalmente gerenciado (padrão)
No modo totalmente gerenciado, cada cluster de administrador da organização depende da infraestrutura de chave pública (PKI) do GDC para emitir certificados. Quando você cria uma nova organização, esse modo é o padrão aplicado. Depois, é possível mudar para um modo de PKI diferente.
Com esse modo, você precisa receber e distribuir a CA raiz para seu ambiente de confiança.
Modo de certificados BYO
O modo de certificado BYO oferece suporte à assinatura de certificados de folha com CAs externas ou gerenciadas pelo usuário. Esse modo gera uma solicitação de assinatura de certificado (CSR, na sigla em inglês) para cada solicitação de certificado. Enquanto aguarda a assinatura, o modo de certificado BYO procura um certificado assinado pelo cliente no pool que corresponda à solicitação de certificado:
- Se não for possível encontrar um certificado correspondente, uma CA de fallback gerenciada pelo GDC emitirá um certificado temporário pronto para uso imediato.
- Se encontrar um certificado correspondente, ele será usado como o certificado temporário para a solicitação atual.
Para assinar a CSR, siga estas etapas:
- Faça o download da CSR no status do recurso personalizado
Certificate. - Faça o upload do certificado assinado e do certificado de CA externa para o mesmo recurso personalizado
Certificatecom uma atualização do campospec.
Para gerenciar a verificação e substituir o certificado temporário, o Distributed Cloud atualiza o secret do certificado com o certificado enviado e a CA externa. Não é necessário mudar os armazenamentos confiáveis.
Para mais informações, consulte Assinar o certificado BYO.
Modo de certificados BYO com ACME
Com o modo de certificado BYO com ACME, um cliente ACME gerenciado pelo GDC é implantado em um site do Distributed Cloud e se comunica com um servidor ACME, uma CA implantada por você no seu site. O servidor ACME usa o protocolo ACME para solicitar, validar e gerenciar certificados.
O protocolo ACME oferece suporte a diferentes desafios, por exemplo, HTTP-01 e DNS-01. Esses desafios ajudam a comprovar a propriedade do domínio e a receber certificados automaticamente. O Distributed Cloud usa o desafio DNS-01. Com esse desafio, o cliente do Distributed Cloud adiciona um registro DNS específico à zona DNS do domínio. Quando o desafio for concluído, a CA ACME emitirá o certificado automaticamente. Não é necessário mudar os armazenamentos confiáveis.
Para saber mais sobre o protocolo ACME, consulte o documento público do Datatracker para RFC 8555: https://datatracker.ietf.org/doc/html/rfc8555 (link em inglês).
Modo SubCA BYO
Com o modo SubCA BYO, uma CSR para a SubCA é gerada no cluster de administrador da organização do Distributed Cloud. Você precisa assinar a solicitação de CSR e fazer o upload do certificado assinado para o sistema. Para mais informações, consulte
Assinar o certificado SubCA BYO.
É possível criar um recurso personalizado CertificateIssuer que aponta para essa SubCA e marcá-lo como o CertificateIssuer padrão.
A subCA recém-criada emite todos os certificados da Web subsequentes. Não é necessário mudar os armazenamentos confiáveis.
Transição para um modo de PKI diferente
A API de PKI oferece suporte à transição do modo totalmente gerenciado padrão para outros modos personalizados compatíveis. Para mais informações, consulte Transição para diferentes modos de PKI.