Agrega CAs personalizadas al paquete de confianza del sistema

En esta página, se explica cómo agregar certificados de autoridad certificadora (CA) personalizados al paquete de confianza del sistema en Google Distributed Cloud (GDC) aislado. Un paquete de confianza es una colección de entidades certificadoras de confianza que los servicios de tu organización usan para verificar la identidad de otros servicios. Si agregas tus propias CA personalizadas, puedes controlar qué certificados confía tu organización, lo que permite conexiones seguras a tus recursos internos y otros extremos de confianza.

En esta página, se explica cómo agregar CAs personalizadas al paquete de confianza del sistema trust-store-root-ext. Cuando modificas el paquete de confianza de trust-store-root-ext, los cambios se propagan automáticamente al paquete de trust-store-global-root-ext, lo que hace que tus entidades certificadoras personalizadas estén disponibles en todas las zonas.

Esta página está destinada a los públicos que forman parte del grupo de administradores de la plataforma (como los administradores de TI) que necesitan administrar y proteger los recursos de su organización en GDC. Para obtener más información, consulta Públicos para la documentación de GDC aislada del aire.

Antes de comenzar

Permisos requeridos: Pídele al administrador de IAM de tu organización que te otorgue el rol de administrador de la tienda de confianza (trust-store-admin).
Archivo kubeconfig: Accede y genera el archivo kubeconfig para el servidor de la API del clúster de infraestructura si aún no tienes uno. Necesitas la ruta de acceso al archivo kubeconfig para reemplazar INFRA_CLUSTER_KUBECONFIG en los siguientes pasos.

Agrega CAs personalizadas al paquete de confianza del sistema

Para agregar ACs personalizadas al paquete de confianza del sistema trust-store-root-ext, debes preparar el recurso de la AC personalizada y, luego, aplicarlo al clúster.

Exporta las siguientes variables de entorno:
```
export CUSTOM_CA_PEM_FILE=CUSTOM_CA_PEM_FILE
export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG
```
Reemplaza lo siguiente:
- CUSTOM_CA_PEM_FILE: Es la ruta de acceso al archivo que contiene tus certificados de CA personalizados, codificados en formato PEM.
- INFRA_CLUSTER_KUBECONFIG: Es la ruta al archivo kubeconfig del clúster de infraestructura.
Nota: Si deseas actualizar la lista de entidades certificadoras personalizadas, modifica el contenido del CUSTOM_CA_PEM_FILE de destino directamente y repite los pasos de esta sección.

Codifica los certificados de CA con base64:

export ENCODED_CA=$(cat "${CUSTOM_CA_PEM_FILE:?}" | base64 -w 0)

Crea el archivo YAML secreto (custom-ca.yaml) que tiene como destino el paquete de confianza del sistema trust-store-root-ext:

cat > custom-ca.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
  ca.crt: ${ENCODED_CA:?}
EOF

El siguiente es un ejemplo de un archivo custom-ca.yaml:

apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
   ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSU...LQWZRSUE9PQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==

Aplica el secreto al clúster de infraestructura con el comando kubectl:
```
 kubectl apply -f custom-ca.yaml --kubeconfig ${KUBECONFIG:?}
```
Este paso hace que tus CA personalizadas estén disponibles para los servicios de GDC, ya que actualiza automáticamente los paquetes de confianza trust-store-root-ext y trust-store-global-root-ext.

Verifica que las entidades de certificación estén disponibles

Confirma que tus AC personalizadas se hayan agregado al paquete de confianza:

Descarga la versión más reciente del paquete de confianza trust-store-root-ext siguiendo los pasos que se indican en Cómo recuperar paquetes de confianza de GDC.

Si deseas recuperar las CA personalizadas de una zona diferente, usa el paquete de confianza trust-store-global-root-ext.
Abre el archivo del paquete de confianza descargado y confirma que esté presente cada certificado de CA personalizado especificado por CUSTOM_CA_PEM_FILE.

Busca cada certificado de CA personalizado de forma individual. El orden en que aparecen puede variar, y no se garantiza que aparezcan al final de la lista.

A continuación, se muestra un ejemplo de trust-store-root-ext:
```
-----BEGIN CERTIFICATE-----
MIIC8DCCAdigAwIBAgIQPLOPa...
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
   < Imported CA data>
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
MIIDAzCCAeugAwIBAgIRAIV2...
-----END CERTIFICATE-----
```

Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.

Última actualización: 2026-01-24 (UTC)