将自定义 CA 添加到系统信任软件包

本页介绍了如何在 Google Distributed Cloud (GDC) 空气隔离环境中向系统信任软件包添加自定义证书授权机构 (CA) 证书。信任包是贵组织的服务用于验证其他服务身份的一组受信任的 CA。通过添加您自己的自定义 CA,您可以控制组织信任哪些证书,从而实现与内部资源和其他受信任端点的安全连接。

本页介绍了如何将自定义 CA 添加到 trust-store-root-ext 系统信任包。当您修改 trust-store-root-ext 信任软件包时,更改会自动传播到 trust-store-global-root-ext 软件包,从而使您的自定义 CA 可在所有地区中使用。

本页面适用于平台管理员群组中的用户(例如 IT 管理员),他们需要在 GDC 中管理和保护组织的资源。如需了解详情,请参阅 GDC 气隙环境文档的受众群体

准备工作

  • 所需权限:请让您的组织 IAM 管理员为您授予 Trust Store Admin (trust-store-admin) 角色。

  • Kubeconfig 文件:登录并为基础架构集群 API 服务器生成 kubeconfig 文件(如果您还没有)。您需要 kubeconfig 文件的路径,以便在以下步骤中替换 INFRA_CLUSTER_KUBECONFIG

将自定义 CA 添加到系统信任软件包

如需将自定义 CA 添加到 trust-store-root-ext 系统信任捆绑包,您需要准备自定义 CA 资源,然后将其应用到集群。

  1. 导出以下环境变量:

    export CUSTOM_CA_PEM_FILE=CUSTOM_CA_PEM_FILE
export KUBECONFIG=INFRA_CLUSTER_KUBECONFIG

    替换以下内容:

    • CUSTOM_CA_PEM_FILE:包含自定义 CA 证书(以 PEM 格式编码)的文件的路径。
    • INFRA_CLUSTER_KUBECONFIG:Infra 集群 kubeconfig 文件的路径。

  2. 使用 base64 对 CA 证书进行编码:

    export ENCODED_CA=$(cat "${CUSTOM_CA_PEM_FILE:?}" | base64 -w 0)

  3. 创建以 trust-store-root-ext 系统信任软件包为目标的 Secret YAML 文件 (custom-ca.yaml):

    cat > custom-ca.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
  ca.crt: ${ENCODED_CA:?}
EOF

    以下是 custom-ca.yaml 文件的示例:

    apiVersion: v1
kind: Secret
metadata:
  annotations:
    security.private.gdc.goog/bundles: trust-store-root-ext
  name: custom-ca
  namespace: cert-manager
data:
   ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSU...LQWZRSUE9PQotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==

  4. 使用 kubectl 命令将 Secret 应用到 Infra 集群:

     kubectl apply -f custom-ca.yaml --kubeconfig ${KUBECONFIG:?}

    此步骤通过自动更新 trust-store-root-exttrust-store-global-root-ext 信任软件包,使 GDC 服务可以使用您的自定义 CA。

验证 CA 是否可用

确认您的自定义 CA 已添加到信任软件包中:

  1. 按照获取 GDC 信任文件包中的步骤下载最新版本的 trust-store-root-ext 信任文件包。

    如果您想从其他可用区获取自定义 CA,请使用 trust-store-global-root-ext 信任软件包。

  2. 打开下载的信任包文件,并确认 CUSTOM_CA_PEM_FILE 指定的每个自定义 CA 证书都存在。

    单独搜索每个自定义 CA 证书。它们的显示顺序可能会有所不同;我们无法保证它们会显示在列表末尾。

    以下示例展示了 trust-store-root-ext

    -----BEGIN CERTIFICATE-----
MIIC8DCCAdigAwIBAgIQPLOPa...
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
   < Imported CA data>
-----END CERTIFICATE-----
... other CAs ...
-----BEGIN CERTIFICATE-----
MIIDAzCCAeugAwIBAgIRAIV2...
-----END CERTIFICATE-----