시스템 신뢰 번들에 맞춤 CA 추가

이 페이지에서는 Google Distributed Cloud (GDC) 오프라인 환경 내 시스템 신뢰 번들에 커스텀 인증 기관 (CA) 인증서를 추가하는 방법을 설명합니다. 신뢰 번들은 조직의 서비스가 다른 서비스의 ID를 확인하는 데 사용하는 신뢰할 수 있는 CA의 모음입니다. 자체 맞춤 CA를 추가하면 조직에서 신뢰하는 인증서를 제어하여 내부 리소스 및 기타 신뢰할 수 있는 엔드포인트에 대한 보안 연결을 사용 설정할 수 있습니다.

이 페이지에서는 trust-store-root-ext 시스템 신뢰 번들에 맞춤 CA를 추가하는 방법을 다룹니다. trust-store-root-ext 신뢰 번들을 수정하면 변경사항이 trust-store-global-root-ext 번들로 자동으로 전파되어 모든 영역에서 맞춤 CA를 사용할 수 있습니다.

이 페이지는 GDC 내에서 조직의 리소스를 관리하고 보호해야 하는 플랫폼 관리자 그룹 (예: IT 관리자)의 사용자를 대상으로 합니다. 자세한 내용은 GDC 오프라인 환경 대상 문서를 참고하세요.

시작하기 전에

필요한 권한: 조직 IAM 관리자에게 신뢰 저장소 관리자 (trust-store-admin) 역할을 부여해 달라고 요청하세요.
kubeconfig 파일: 아직 없는 경우 로그인하고 인프라 클러스터 API 서버의 kubeconfig 파일을 생성합니다. 다음 단계에서 INFRA_CLUSTER_KUBECONFIG를 바꾸려면 kubeconfig 파일의 경로가 필요합니다.

시스템 신뢰 번들에 맞춤 CA 추가

trust-store-root-ext 시스템 신뢰 번들에 커스텀 CA를 추가하려면 커스텀 CA 리소스를 준비한 후 클러스터에 적용해야 합니다.

다음 환경 변수를 내보냅니다.
```
export CUSTOM_CA_PEM_FILE=CUSTOM_CA_PEM_FILE
export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG
```
다음을 바꿉니다.
- CUSTOM_CA_PEM_FILE: PEM 형식으로 인코딩된 맞춤 CA 인증서가 포함된 파일의 경로입니다.
- INFRA_CLUSTER_KUBECONFIG: 인프라 클러스터 kubeconfig 파일의 경로입니다.
참고: 맞춤 CA 목록을 업데이트하려면 타겟 CUSTOM_CA_PEM_FILE의 콘텐츠를 직접 수정하고 이 섹션의 단계를 반복하세요.

base64를 사용하여 CA 인증서를 인코딩합니다.

export ENCODED_CA=$(cat "${CUSTOM_CA_PEM_FILE:?}" | base64 -w 0)

trust-store-root-ext 시스템 신뢰 번들을 타겟팅하는 보안 비밀 YAML 파일 (custom-ca.yaml)을 만듭니다.

cat > custom-ca.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
  ca.crt: ${ENCODED_CA:?}
EOF

다음은 custom-ca.yaml 파일의 예시입니다.

apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
   ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSU...LQWZRSUE9PQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==

kubectl 명령어를 사용하여 인프라 클러스터에 보안 비밀을 적용합니다.
```
 kubectl apply -f custom-ca.yaml --kubeconfig ${KUBECONFIG:?}
```
이 단계에서는 trust-store-root-ext 및 trust-store-global-root-ext 신뢰 번들을 자동으로 업데이트하여 맞춤 CA를 GDC 서비스에서 사용할 수 있도록 합니다.

CA를 사용할 수 있는지 확인

커스텀 CA가 신뢰 번들에 추가되었는지 확인합니다.

GDC 신뢰 번들 가져오기의 단계에 따라 최신 버전의 trust-store-root-ext 신뢰 번들을 다운로드합니다.

다른 영역에서 맞춤 CA를 가져오려면 trust-store-global-root-ext 신뢰 번들을 사용하세요.
다운로드한 신뢰 번들 파일을 열고 CUSTOM_CA_PEM_FILE로 지정된 각 맞춤 CA 인증서가 있는지 확인합니다.

각 맞춤 CA 인증서를 개별적으로 검색합니다. 표시되는 순서는 다를 수 있으며 목록 끝에 표시된다고 보장할 수는 없습니다.

다음은 trust-store-root-ext의 예시를 보여줍니다.
```
-----BEGIN CERTIFICATE-----
MIIC8DCCAdigAwIBAgIQPLOPa...
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
   < Imported CA data>
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
MIIDAzCCAeugAwIBAgIRAIV2...
-----END CERTIFICATE-----
```

달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.

최종 업데이트: 2026-01-24(UTC)