Aggiungere CA personalizzate al bundle di attendibilità del sistema

Questa pagina spiega come aggiungere certificati di autorità di certificazione (CA) personalizzati al bundle di attendibilità del sistema all'interno di Google Distributed Cloud (GDC) air-gapped. Un bundle di attendibilità è una raccolta di CA attendibili che i servizi della tua organizzazione utilizzano per verificare l'identità di altri servizi. Aggiungendo le tue CA personalizzate, puoi controllare di quali certificati si fida la tua organizzazione, consentendo connessioni sicure alle tue risorse interne e ad altri endpoint attendibili.

Questa pagina spiega come aggiungere CA personalizzate al bundle di attendibilità del sistema trust-store-root-ext. Quando modifichi il bundle di attendibilità trust-store-root-ext, le modifiche vengono propagate automaticamente al bundle trust-store-global-root-ext, rendendo le tue CA personalizzate disponibili in tutte le zone.

Questa pagina è rivolta ai segmenti di pubblico all'interno del gruppo di amministratori della piattaforma (ad esempio gli amministratori IT) che devono gestire e proteggere le risorse della propria organizzazione in GDC. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Prima di iniziare

Autorizzazioni richieste: chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore archivio attendibilità (trust-store-admin).
File kubeconfig: accedi e genera il file kubeconfig per il server API del cluster di infrastruttura se non ne hai già uno. Per sostituire INFRA_CLUSTER_KUBECONFIG nei passaggi che seguono, devi avere il percorso del file kubeconfig.

Aggiungere CA personalizzate al bundle di attendibilità del sistema

Per aggiungere CA personalizzate al bundle di attendibilità del sistema trust-store-root-ext, devi preparare la risorsa CA personalizzata e poi applicarla al cluster.

Esporta le seguenti variabili di ambiente:
```
export CUSTOM_CA_PEM_FILE=CUSTOM_CA_PEM_FILE
export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG
```
Sostituisci quanto segue:
- CUSTOM_CA_PEM_FILE: il percorso del file contenente i certificati CA personalizzati, codificati in formato PEM.
- INFRA_CLUSTER_KUBECONFIG: il percorso del file kubeconfig del cluster di infrastruttura.
Nota: se vuoi aggiornare l'elenco delle CA personalizzate, modifica i contenuti di CUSTOM_CA_PEM_FILE direttamente e ripeti i passaggi di questa sezione.

Codifica i certificati CA utilizzando base64:

export ENCODED_CA=$(cat "${CUSTOM_CA_PEM_FILE:?}" | base64 -w 0)

Crea il file YAML del secret (custom-ca.yaml) che ha come target il bundle di attendibilità del sistema trust-store-root-ext:

cat > custom-ca.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
  ca.crt: ${ENCODED_CA:?}
EOF

Di seguito è riportato un esempio di file custom-ca.yaml:

apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
   ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSU...LQWZRSUE9PQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==

Applica il secret al cluster dell'infrastruttura utilizzando il comando kubectl:
```
 kubectl apply -f custom-ca.yaml --kubeconfig ${KUBECONFIG:?}
```
Questo passaggio rende disponibili le CA personalizzate per i servizi GDC aggiornando automaticamente i bundle di attendibilità trust-store-root-ext e trust-store-global-root-ext.

Verifica che le CA siano disponibili

Verifica che le CA personalizzate siano state aggiunte al bundle di attendibilità:

Scarica l'ultima versione del bundle di attendibilità trust-store-root-ext seguendo i passaggi descritti in Recuperare i bundle di attendibilità GDC.

Se vuoi recuperare le CA personalizzate da una zona diversa, utilizza il bundle di attendibilità trust-store-global-root-ext.
Apri il file del bundle di attendibilità scaricato e verifica che sia presente ogni certificato CA personalizzato specificato da CUSTOM_CA_PEM_FILE.

Cerca ogni certificato CA personalizzato singolarmente. L'ordine in cui vengono visualizzati può variare e non è garantito che vengano visualizzati alla fine dell'elenco.

Di seguito è riportato un esempio di trust-store-root-ext:
```
-----BEGIN CERTIFICATE-----
MIIC8DCCAdigAwIBAgIQPLOPa...
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
   < Imported CA data>
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
MIIDAzCCAeugAwIBAgIRAIV2...
-----END CERTIFICATE-----
```

Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.

Ultimo aggiornamento 2026-01-24 UTC.