Añadir CAs personalizadas al paquete de confianza del sistema

En esta página se explica cómo añadir certificados de autoridad de certificación (CA) personalizados al paquete de confianza del sistema en Google Distributed Cloud (GDC) air-gapped. Un paquete de confianza es una colección de CAs de confianza que usan los servicios de tu organización para verificar la identidad de otros servicios. Si añades tus propias CAs personalizadas, puedes controlar en qué certificados confía tu organización, lo que permite establecer conexiones seguras con tus recursos internos y otros endpoints de confianza.

En esta página se explica cómo añadir CAs personalizadas al paquete de confianza del sistema trust-store-root-ext. Cuando modificas el trust-store-root-ext paquete de confianza, los cambios se propagan automáticamente al paquete trust-store-global-root-ext, lo que hace que tus CAs personalizadas estén disponibles en todas las zonas.

Esta página está dirigida a audiencias que forman parte del grupo de administradores de la plataforma (como los administradores de TI) y que necesitan gestionar y proteger los recursos de su organización en GDC. Para obtener más información, consulta la documentación sobre audiencias para GDC air-gapped.

Antes de empezar

Permisos necesarios: pide al administrador de gestión de identidades y accesos de tu organización que te asigne el rol Administrador de almacén de confianza (trust-store-admin).
Archivo kubeconfig: inicia sesión y genera el archivo kubeconfig del servidor de la API del clúster de infraestructura si aún no tienes uno. Necesitas la ruta del archivo kubeconfig para sustituir INFRA_CLUSTER_KUBECONFIG en los siguientes pasos.

Añadir CAs personalizadas al paquete de confianza del sistema

Para añadir ACs personalizadas al paquete de confianza del sistema trust-store-root-ext, debes preparar el recurso de AC personalizada y, a continuación, aplicarlo al clúster.

Exporta las siguientes variables de entorno:
```
export CUSTOM_CA_PEM_FILE=CUSTOM_CA_PEM_FILE
export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG
```
Haz los cambios siguientes:
- CUSTOM_CA_PEM_FILE: la ruta al archivo que contiene tus certificados de AC personalizados, codificados en formato PEM.
- INFRA_CLUSTER_KUBECONFIG: la ruta al archivo kubeconfig de InfraCluster.
Nota: Si quieres actualizar la lista de CAs personalizadas, modifica el contenido del CUSTOM_CA_PEM_FILE de destino directamente y repite los pasos de esta sección.

Codifica los certificados de la AC con base64:

export ENCODED_CA=$(cat "${CUSTOM_CA_PEM_FILE:?}" | base64 -w 0)

Crea el archivo YAML secreto (custom-ca.yaml) que tiene como destino el paquete de confianza del sistema trust-store-root-ext:

cat > custom-ca.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
  ca.crt: ${ENCODED_CA:?}
EOF

A continuación, se muestra un ejemplo de un archivo custom-ca.yaml:

apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
   ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSU...LQWZRSUE9PQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==

Aplica el secreto al clúster de infraestructura con el comando kubectl:
```
 kubectl apply -f custom-ca.yaml --kubeconfig ${KUBECONFIG:?}
```
Con este paso, tus CAs personalizadas estarán disponibles para los servicios de GDC, ya que se actualizarán automáticamente los paquetes de confianza trust-store-root-ext y trust-store-global-root-ext.

Verificar que las CAs estén disponibles

Confirma que tus CAs personalizadas se han añadido al paquete de confianza:

Descarga la versión más reciente del trust-store-root-ext paquete de confianza siguiendo los pasos que se indican en Obtener paquetes de confianza de GDC.

Si quieres obtener las CAs personalizadas de otra zona, usa el paquete de confianza trust-store-global-root-ext.
Abre el archivo de paquete de confianza descargado y confirma que está presente cada certificado de AC personalizado especificado por CUSTOM_CA_PEM_FILE.

Busca cada certificado de AC personalizado de forma individual. El orden en el que aparecen puede variar y no se garantiza que aparezcan al final de la lista.

A continuación, se muestra un ejemplo de trust-store-root-ext:
```
-----BEGIN CERTIFICATE-----
MIIC8DCCAdigAwIBAgIQPLOPa...
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
   < Imported CA data>
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
MIIDAzCCAeugAwIBAgIRAIV2...
-----END CERTIFICATE-----
```

A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.

Última actualización: 2026-01-15 (UTC).