Benutzerdefinierte CAs zum System-Trust-Bundle hinzufügen

Auf dieser Seite wird beschrieben, wie Sie dem System-Trust-Bundle in Google Distributed Cloud (GDC) Air-Gap benutzerdefinierte Zertifizierungsstellen (Certificate Authority, CA)-Zertifikate hinzufügen. Ein Trust Bundle ist eine Sammlung vertrauenswürdiger Zertifizierungsstellen, die von den Diensten Ihrer Organisation verwendet werden, um die Identität anderer Dienste zu überprüfen. Wenn Sie eigene benutzerdefinierte Zertifizierungsstellen hinzufügen, können Sie festlegen, welchen Zertifikaten Ihre Organisation vertraut. So können Sie sichere Verbindungen zu Ihren internen Ressourcen und anderen vertrauenswürdigen Endpunkten ermöglichen.

Auf dieser Seite wird beschrieben, wie Sie dem trust-store-root-ext-Systemvertrauensbündel benutzerdefinierte CAs hinzufügen. Wenn Sie das trust-store-root-ext-Vertrauensbündel ändern, werden die Änderungen automatisch auf das trust-store-global-root-ext-Bündel übertragen. Ihre benutzerdefinierten CAs sind dann in allen Zonen verfügbar.

Diese Seite richtet sich an Nutzer in der Plattformadministratorgruppe (z. B. IT-Administratoren), die die Ressourcen ihrer Organisation in GDC verwalten und schützen müssen. Weitere Informationen finden Sie in der Dokumentation zu Zielgruppen für GDC-Air-Gap.

Hinweise

Erforderliche Berechtigungen: Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Trust Store Admin“ (trust-store-admin) zuzuweisen.
kubeconfig-Datei: Melden Sie sich an und generieren Sie die kubeconfig-Datei für den API-Server des Infrastrukturclusters, falls Sie noch keine haben. Sie benötigen den Pfad zur kubeconfig-Datei, um INFRA_CLUSTER_KUBECONFIG in den folgenden Schritten zu ersetzen.

Benutzerdefinierte CAs zum System-Trust-Bundle hinzufügen

Wenn Sie dem trust-store-root-ext-System-Trust-Bundle benutzerdefinierte Zertifizierungsstellen hinzufügen möchten, müssen Sie die benutzerdefinierte CA-Ressource vorbereiten und dann auf den Cluster anwenden.

Exportieren Sie die folgenden Umgebungsvariablen:
```
export CUSTOM_CA_PEM_FILE=CUSTOM_CA_PEM_FILE
export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG
```
Ersetzen Sie Folgendes:
- CUSTOM_CA_PEM_FILE: Der Pfad zur Datei mit Ihren benutzerdefinierten CA-Zertifikaten, die im PEM-Format codiert sind.
- INFRA_CLUSTER_KUBECONFIG: Der Pfad zur kubeconfig-Datei des Infrastrukturclusters.
Hinweis :Wenn Sie die Liste der benutzerdefinierten Zertifizierungsstellen aktualisieren möchten, ändern Sie den Inhalt des Ziel-CUSTOM_CA_PEM_FILE direkt und wiederholen Sie die Schritte in diesem Abschnitt.

Codieren Sie die CA-Zertifikate mit Base64:

export ENCODED_CA=$(cat "${CUSTOM_CA_PEM_FILE:?}" | base64 -w 0)

Erstellen Sie die YAML-Datei für das Secret (custom-ca.yaml), die auf das System-Trust-Bundle trust-store-root-ext ausgerichtet ist:

cat > custom-ca.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
  ca.crt: ${ENCODED_CA:?}
EOF

Hier ein Beispiel für eine custom-ca.yaml-Datei:

apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
   ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSU...LQWZRSUE9PQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==

Wenden Sie das Secret mit dem Befehl kubectl auf den Infrastrukturcluster an:
```
 kubectl apply -f custom-ca.yaml --kubeconfig ${KUBECONFIG:?}
```
Durch diesen Schritt werden Ihre benutzerdefinierten CAs für GDC-Dienste verfügbar, indem die Trust-Bundles trust-store-root-ext und trust-store-global-root-ext automatisch aktualisiert werden.

Prüfen, ob die Zertifizierungsstellen verfügbar sind

Prüfen Sie, ob Ihre benutzerdefinierten CAs dem Trust-Bundle hinzugefügt wurden:

Laden Sie die neueste Version des trust-store-root-ext-Vertrauenswürdigkeitspakets herunter, indem Sie die Schritte unter GDC-Vertrauenswürdigkeitspakete abrufen ausführen.

Wenn Sie die benutzerdefinierten CAs aus einer anderen Zone abrufen möchten, verwenden Sie das trust-store-global-root-ext-Vertrauensbündel.
Öffnen Sie die heruntergeladene Datei mit dem Trust-Bundle und prüfen Sie, ob jedes benutzerdefinierte CA-Zertifikat, das von CUSTOM_CA_PEM_FILE angegeben wurde, vorhanden ist.

Suchen Sie einzeln nach jedem benutzerdefinierten CA-Zertifikat. Die Reihenfolge, in der sie angezeigt werden, kann variieren. Sie werden nicht unbedingt am Ende der Liste angezeigt.

Das folgende Beispiel zeigt trust-store-root-ext:
```
-----BEGIN CERTIFICATE-----
MIIC8DCCAdigAwIBAgIQPLOPa...
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
   < Imported CA data>
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
MIIDAzCCAeugAwIBAgIRAIV2...
-----END CERTIFICATE-----
```

Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.

Zuletzt aktualisiert: 2026-01-24 (UTC).