Adicione ACs personalizadas ao pacote de fidedignidade do sistema

Esta página explica como adicionar certificados de autoridades de certificação (AC) personalizadas ao pacote de confiança do sistema no Google Distributed Cloud (GDC) isolado. Um conjunto de confiança é uma coleção de ACs fidedignas que os serviços da sua organização usam para validar a identidade de outros serviços. Ao adicionar as suas próprias ACs personalizadas, pode controlar os certificados em que a sua organização confia, o que permite ligações seguras aos seus recursos internos e outros pontos finais fidedignos.

Esta página aborda como adicionar ACs personalizadas ao pacote de confiança do sistema.trust-store-root-ext Quando modifica o trust-store-root-ext conjunto de confiança, as alterações propagam-se automaticamente ao conjunto trust-store-global-root-ext, tornando as suas ACs personalizadas disponíveis em todas as zonas.

Esta página destina-se a públicos-alvo no grupo de administradores da plataforma (como administradores de TI) que precisam de gerir e proteger os recursos da respetiva organização no GDC. Para mais informações, consulte a documentação sobre públicos-alvo para GDC com isolamento de ar.

Antes de começar

Autorizações necessárias: peça ao administrador de IAM da organização para lhe conceder a função de administrador da loja fidedigna (trust-store-admin).
Ficheiro kubeconfig: inicie sessão e gere o ficheiro kubeconfig para o servidor da API do cluster de infraestrutura, se ainda não tiver um. Precisa do caminho para o ficheiro kubeconfig para substituir INFRA_CLUSTER_KUBECONFIG nos passos seguintes.

Adicione ACs personalizadas ao pacote de fidedignidade do sistema

Para adicionar ACs personalizadas ao trust-store-root-ext pacote de confiança do sistema, tem de preparar o recurso de AC personalizada e, em seguida, aplicá-lo ao cluster.

Exporte as seguintes variáveis de ambiente:
```
export CUSTOM_CA_PEM_FILE=CUSTOM_CA_PEM_FILE
export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG
```
Substitua o seguinte:
- CUSTOM_CA_PEM_FILE: o caminho para o ficheiro que contém os seus certificados da AC personalizados, codificados no formato PEM.
- INFRA_CLUSTER_KUBECONFIG: o caminho para o ficheiro kubeconfig do cluster de infraestrutura.
Nota: se quiser atualizar a lista de ACs personalizadas, modifique diretamente o conteúdo do ficheiro CUSTOM_CA_PEM_FILE e repita os passos nesta secção.

Codifique os certificados da AC com base64:

export ENCODED_CA=$(cat "${CUSTOM_CA_PEM_FILE:?}" | base64 -w 0)

Crie o ficheiro YAML secreto (custom-ca.yaml) que tem como destino o pacote de fidedignidade do sistema trust-store-root-ext:

cat > custom-ca.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
  ca.crt: ${ENCODED_CA:?}
EOF

Segue-se um exemplo de um ficheiro custom-ca.yaml:

apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
   ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSU...LQWZRSUE9PQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==

Aplique o segredo ao cluster de infraestrutura através do comando kubectl:
```
 kubectl apply -f custom-ca.yaml --kubeconfig ${KUBECONFIG:?}
```
Este passo disponibiliza as ACs personalizadas aos serviços GDC atualizando automaticamente os pacotes de confiança trust-store-root-ext e trust-store-global-root-ext.

Confirme se as ACs estão disponíveis

Confirme que as ACs personalizadas foram adicionadas ao pacote de confiança:

Transfira a versão mais recente do trust-store-root-extpacote de fidedignidade seguindo os passos em Obtenha pacotes de fidedignidade do GDC.

Se quiser obter as ACs personalizadas de uma zona diferente, use o pacote de confiança trust-store-global-root-ext.
Abra o ficheiro do conjunto de confiança transferido e confirme que cada certificado da AC personalizada especificado por CUSTOM_CA_PEM_FILE está presente.

Pesquise cada certificado da AC personalizado individualmente. A ordem pela qual aparecem pode variar. Não é garantido que apareçam no final da lista.

O exemplo seguinte mostra trust-store-root-ext:
```
-----BEGIN CERTIFICATE-----
MIIC8DCCAdigAwIBAgIQPLOPa...
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
   < Imported CA data>
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
MIIDAzCCAeugAwIBAgIRAIV2...
-----END CERTIFICATE-----
```

Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.

Última atualização 2026-01-15 UTC.