pki.security.gdc.goog/v1
Contiene definiciones de esquemas de API para el grupo de APIs de PKI v1.
ACMEConfig
Aparece en: - CertificateAuthoritySpec
| Campo | Descripción |
|---|---|
enabled booleano |
Indica si se debe implementar la CA y acceder a ella a través del protocolo ACME. |
ACMEIssuerConfig
Aparece en: - CertificateIssuerSpec
| Campo | Descripción |
|---|---|
rootCACertificate arreglo de números enteros |
Contiene los datos de la CA raíz de los certificados emitidos por el servidor de ACME. |
acme ACMEIssuer |
ACME configura esta entidad emisora para que se comunique con un servidor RFC 8555 (ACME) y obtenga certificados firmados. ACME es un ACMEIssuer de acme.cert-manager.io/v1. |
ACMEStatus
Aparece en: - CertificateAuthorityStatus
| Campo | Descripción |
|---|---|
uri string |
El URI es el identificador único de la cuenta, que también se puede usar para recuperar los detalles de la cuenta de la CA. |
BYOCertIssuerConfig
BYOCertIssuerConfig define una entidad emisora según el modelo de BYO-Cert.
Aparece en: - CertificateIssuerSpec
| Campo | Descripción |
|---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority es la referencia a una CA de CAaaS predeterminada operada. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
BYOCertStatus
Aparece en: - CertificateStatus
| Campo | Descripción |
|---|---|
csrStatus CSRStatus |
Estado de la solicitud de firma de certificado (CSR) |
signedCertStatus SignedCertStatus |
Estado del certificado firmado de forma externa |
BYOCertificate
Certificado firmado externamente
Aparece en: - CertificateSpec
| Campo | Descripción |
|---|---|
certificate arreglo de números enteros |
Es el certificado x509 con codificación PEM que subió el cliente. |
ca arreglo de números enteros |
Es el certificado x509 con codificación PEM de la CA de la entidad certificadora que se usó para firmar el certificado. |
CACertificateConfig
CACertificateConfig define cómo se aprovisionará el certificado de CA. Solo se establecerá uno de ellos en cualquier momento.
Aparece en: - CertificateAuthoritySpec
| Campo | Descripción |
|---|---|
externalCA ExternalCAConfig |
Obtén el certificado de una CA raíz externa. Si se configura, se generará una CSR en el estado y se podrá subir el certificado firmado con este campo. |
selfSignedCA SelfSignedCAConfig |
Emite un certificado autofirmado. (CA raíz) |
managedSubCA ManagedSubCAConfig |
Emite un certificado de SubCA desde una CA administrada por GDC. (Sub CA administrada) |
CACertificateProfile
CACertificateProfile define el perfil de un certificado de CA.
Aparece en: - CertificateAuthoritySpec
| Campo | Descripción |
|---|---|
commonName string |
Nombre común del certificado de CA. |
organizations arreglo de strings |
Organizaciones que se usarán en el certificado. |
countries arreglo de strings |
Son los países que se usarán en el certificado. |
organizationalUnits arreglo de strings |
Son las unidades organizativas que se usarán en el certificado. |
localities arreglo de strings |
Son las ciudades que se usarán en el certificado. |
provinces arreglo de strings |
Estados o provincias que se usarán en el certificado. |
streetAddresses arreglo de strings |
Direcciones de la calle que se usarán en el certificado. |
postalCodes arreglo de strings |
Códigos postales que se usarán en el certificado. |
duration Duración |
Es la "duración" (es decir, el ciclo de vida) solicitada del certificado de CA. |
renewBefore Duración |
RenewBefore implica el tiempo de rotación antes de que venza el certificado de CA. |
maxPathLength número entero |
Es la longitud máxima de la ruta del certificado de la CA. |
CAReference
CAReference representa una referencia a CertificateAuthority. Tiene información para recuperar una CA en cualquier espacio de nombres.
Aparece en: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| Campo | Descripción |
|---|---|
name string |
El nombre es único dentro de un espacio de nombres para hacer referencia a un recurso de CA. |
namespace string |
El espacio de nombres define el espacio dentro del cual el nombre de la CA debe ser único. |
CAaaSIssuerConfig
CAaaSIssuerConfig define una entidad emisora que solicita certificados de una CA creada con el servicio de CAaaS.
Aparece en: - CertificateIssuerSpec
| Campo | Descripción |
|---|---|
certificateAuthorityRef CAReference |
Es una referencia a un CertificationAuthority que firmará el certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CSRStatus
Aparece en: - BYOCertStatus
| Campo | Descripción |
|---|---|
conditions arreglo de condiciones |
Es una lista de condiciones de estado que indican el estado de una CSR de certificado BYO: WaitingforSigning indica que se generó una CSR nueva para que el cliente la firme. - Listo: Indica que se firmó la CSR |
csr arreglo de números enteros |
Almacena el CSR para que el cliente lo firme. |
Certificado
Un objeto Certificate representa un certificado administrado.
Aparece en: - CertificateList
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
Certificate |
metadata ObjectMeta |
Consulta la documentación de la API de Kubernetes para conocer los campos de metadata. |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority representa la autoridad certificadora individual que se usará para emitir los certificados.
Aparece en: - CertificateAuthorityList
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateAuthority |
metadata ObjectMeta |
Consulta la documentación de la API de Kubernetes para conocer los campos de metadata. |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList representa una colección de autoridades certificadoras.
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateAuthorityList |
metadata ListMeta |
Consulta la documentación de la API de Kubernetes para conocer los campos de metadata. |
items CertificateAuthority array |
CertificateAuthoritySpec
Aparece en: - CertificateAuthority
| Campo | Descripción |
|---|---|
caProfile CACertificateProfile |
Es el perfil de CertificateAuthority. |
caCertificate CACertificateConfig |
Es la configuración del aprovisionamiento del certificado de CA. |
secretConfig SecretConfig |
Configuración del secreto de la CA |
certificateProfile CertificateProfile |
Define el perfil de los certificados que se emitirán. |
acme ACMEConfig |
Es la configuración relacionada con la habilitación del protocolo ACME. |
CertificateAuthorityStatus
Aparece en: - CertificateAuthority
| Campo | Descripción |
|---|---|
externalCA ExternalCAStatus |
ExternalCA especifica opciones de estado para SunCA firmada por la CA raíz externa. |
errorStatus ErrorStatus |
ErrorStatus contiene una lista de los errores actuales y la marca de tiempo en la que se actualiza este campo. |
conditions arreglo de condiciones |
Es una lista de condiciones de estado para indicar el estado de una autoridad de certificación. - Pendiente: Las CSR están pendientes de la firma del cliente. - Listo: Indica que la autoridad certificadora está lista para usarse. |
acme ACMEStatus |
Son opciones de estado específicas de ACME. Este campo solo debe establecerse si la entidad certificadora está configurada con ACME habilitado. |
CertificateConfig
CertificateConfig representa la información del sujeto en un certificado emitido.
Aparece en: - CertificateRequestSpec
| Campo | Descripción |
|---|---|
subjectConfig SubjectConfig |
Estos valores se usan para crear los campos de nombre distintivo y nombre alternativo del asunto en un certificado X.509. |
privateKeyConfig CertificatePrivateKey |
Opciones de clave privada. Estos incluyen el algoritmo y el tamaño de la clave. |
CertificateIssuer
CertificateIssuer representa un emisor para el servicio de certificados.
Puedes marcar un CertificateIssuer como emisor predeterminado agregando o configurando la etiqueta pki.security.gdc.goog/is-default-issuer: true.
Aparece en: - CertificateIssuerList
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateIssuer |
metadata ObjectMeta |
Consulta la documentación de la API de Kubernetes para conocer los campos de metadata. |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList representa una colección de entidades emisoras de certificados.
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateIssuerList |
metadata ListMeta |
Consulta la documentación de la API de Kubernetes para conocer los campos de metadata. |
items Array de CertificateIssuer |
CertificateIssuerSpec
Aparece en: - CertificateIssuer
| Campo | Descripción |
|---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig configura este emisor en el modo BYO-Cert. |
caaasConfig CAaaSIssuerConfig |
CAaaSConfig configura esta entidad emisora para firmar certificados con la CA implementada por la API de CertificateAuthority. |
acmeConfig ACMEIssuerConfig |
ACMEConfig configura esta entidad emisora para firmar certificados con el servidor ACME. |
CertificateIssuerStatus
Aparece en: - CertificateIssuer
| Campo | Descripción |
|---|---|
ca arreglo de números enteros |
Almacena la CA raíz que usa el emisor del certificado actual. |
conditions arreglo de condiciones |
Es una lista de condiciones de estado para indicar el estado de CertificateIssuer. - Ready: Indica que el CertificateIssuer está listo para usarse. |
CertificateList
CertificateList representa una colección de certificados.
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateList |
metadata ListMeta |
Consulta la documentación de la API de Kubernetes para conocer los campos de metadata. |
items Array de Certificate |
CertificatePrivateKey
Aparece en: - CertificateConfig
| Campo | Descripción |
|---|---|
algorithm PrivateKeyAlgorithm |
El algoritmo es el algoritmo de clave privada de la clave privada correspondiente para este certificado. Si se proporciona, los valores permitidos son RSA,Ed25519 o ECDSA. Si se especifica algorithm y no se proporciona size, se usará un tamaño de clave de 384 para el algoritmo de clave ECDSA y un tamaño de clave de 3072 para el algoritmo de clave RSA. El tamaño de clave se ignora cuando se usa el algoritmo de clave Ed25519. Consulta github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go para obtener más información. |
size número entero |
El tamaño es el tamaño de bits de la clave correspondiente a la clave privada de este certificado. Si algorithm se establece en RSA, los valores válidos son 2048, 3072, 4096 o 8192, y se establecerá 3072 de forma predeterminada si no se especifica. Si algorithm se establece en ECDSA, los valores válidos son 256, 384 o 521, y se establecerá de forma predeterminada en 384 si no se especifica. Si algorithm se establece en Ed25519, se ignora el tamaño. No se permiten otros valores. Consulta github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go para obtener más información. |
CertificateProfile
CertificateProfile define la especificación del perfil de un certificado emitido.
Aparece en: - CertificateAuthoritySpec
| Campo | Descripción |
|---|---|
keyUsage KeyUsageBits array |
Son los usos de claves permitidos para los certificados emitidos con este perfil. |
extendedKeyUsage Array de ExtendedKeyUsageBits |
Son los usos de clave extendidos permitidos para los certificados emitidos con este perfil. Este campo es opcional para SelfSignedCA y obligatorio para ManagedSubCA y ExternalCA. |
CertificateRequest
CertificateRequest representa una solicitud para emitir un certificado desde la autoridad certificadora a la que se hace referencia.
Todos los campos dentro de spec de CertificateRequest son inmutables después de la creación.
Aparece en: - CertificateRequestList
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateRequest |
metadata ObjectMeta |
Consulta la documentación de la API de Kubernetes para conocer los campos de metadata. |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList representa una colección de solicitudes de certificados.
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateRequestList |
metadata ListMeta |
Consulta la documentación de la API de Kubernetes para conocer los campos de metadata. |
items CertificateRequest array |
CertificateRequestSpec
CertificateRequestSpec define una solicitud para la emisión de un certificado.
Aparece en: - CertificateRequest
| Campo | Descripción |
|---|---|
csr arreglo de números enteros |
Solicitud de firma de certificado para firmar con la CA. |
certificateConfig CertificateConfig |
Es la configuración del certificado que se usará para crear la CSR. |
notBefore Hora |
Es la hora de inicio de la validez del certificado. Si no se configura, usaremos la hora actual de la solicitud. |
notAfter Hora |
Es la fecha y hora de finalización de la validez del certificado. Si no se establece, usaremos 90 días a partir de la fecha y hora de notBefore como valor predeterminado. |
signedCertificateSecret string |
Nombre del Secret en el que se almacenará el certificado firmado. |
certificateAuthorityRef CAReference |
Es una referencia a una CertificateAuthority que firmará el certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CertificateRequestStatus
Aparece en: - CertificateRequest
| Campo | Descripción |
|---|---|
conditions arreglo de condiciones |
Es una lista de condiciones de estado para indicar el estado de un certificado que se emitirá. - PENDING: Las CSR están pendientes de firma. - Ready: Indica que se completó el CertificateRequest. |
autoGeneratedPrivateKey SecretReference |
Si no se proporciona ningún CSR, se usará una clave privada generada automáticamente. Opcional. |
CertificateSpec
Aparece en: - Certificado
| Campo | Descripción |
|---|---|
issuer IssuerReference |
Es una referencia a CertificateIssuer que se usará para emitir el certificado. Si no se configura, se debe establecer una etiqueta llamada pki.security.gdc.goog/use-default-issuer: true para emitir el certificado con la entidad emisora predeterminada. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateIssuer |
commonName string |
Es el atributo de asunto del certificado X509 de nombre común solicitado. Debe tener una longitud de 64 caracteres o menos. Para la retrocompatibilidad, el comportamiento es el siguiente: Si es nulo, usamos el comportamiento actual para establecer commonName como el primer DNSName si la longitud es de 64 caracteres o menos. Si es una cadena vacía, no lo establecemos. Si se establece, nos aseguramos de que forme parte de los SAN. |
dnsNames arreglo de strings |
DNSNames es una lista de nombres de host completamente calificados que se establecerán en el certificado. |
ipAddresses arreglo de strings |
IPAddresses es una lista de subjectAltNames de IPAddress que se establecerán en el certificado. |
duration Duración |
Es la "duración" (es decir, el tiempo de actividad) solicitada del certificado. |
renewBefore Duración |
RenewBefore implica el tiempo de rotación antes de que venza el certificado. |
secretConfig SecretConfig |
Es la configuración del secreto del certificado. |
byoCertificate BYOCertificate |
Contiene el certificado firmado externamente |
CertificateStatus
Aparece en: - Certificado
| Campo | Descripción |
|---|---|
conditions arreglo de condiciones |
Es una lista de condiciones de estado para indicar el estado del certificado. - Listo: Indica que el certificado está listo para usarse. |
issuedBy IssuerReference |
Es una referencia al CertificateIssuer que se usa para la emisión del certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus especifica las opciones de estado para el modo de certificados externos. |
errorStatus ErrorStatus |
ErrorStatus contiene una lista de los errores actuales y la marca de tiempo en la que se actualiza este campo. |
ExtendedKeyUsageBits
Tipo subyacente: string
ExtendedKeyUsageBits define los diferentes usos mejorados de claves permitidos según RFC 5280 4.2.1.12.
Muchas RFC posteriores definieron muchos usos de clave extendidos, que se pueden implementar como una función posterior si se necesita emitir este tipo de certificados, como en el caso de los certificados que se usan para la autenticación personal, la firma de código o IPSec.
Aparece en: - CertificateProfile
ExternalCAConfig
Aparece en: - CACertificateConfig
| Campo | Descripción |
|---|---|
signedCertificate SignedCertificateConfig |
Almacena un certificado firmado por una CA raíz externa. |
ExternalCAStatus
Aparece en: - CertificateAuthorityStatus
| Campo | Descripción |
|---|---|
csr arreglo de números enteros |
Es una solicitud de firma de certificado que espera la firma de una CA externa. |
IssuerReference
IssuerReference representa una referencia de emisor. Tiene información para recuperar una entidad emisora en cualquier espacio de nombres.
Aparece en: - CertificateSpec - CertificateStatus
| Campo | Descripción |
|---|---|
name string |
El nombre es único dentro de un espacio de nombres para hacer referencia a un recurso de entidad emisora. |
namespace string |
El espacio de nombres define el espacio dentro del cual el nombre del emisor debe ser único. |
KeyUsageBits
Tipo subyacente: string
KeyUsageBits define los diferentes usos de claves permitidos según RFC 5280 4.2.1.3. Ten en cuenta que muchos de los usos de claves que se indican a continuación se utilizan para certificados fuera del contexto de TLS, y la implementación de la configuración de bits que no son de TLS se puede implementar como una función posterior.
Aparece en: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig define la configuración de un certificado de CA de SubCA.
Aparece en: - CACertificateConfig
| Campo | Descripción |
|---|---|
certificateAuthorityRef CAReference |
Es una referencia a una CertificateAuthority que firmará el certificado de la SubCA. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
PrivateKeyAlgorithm
Tipo subyacente: string
Aparece en: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig define la configuración de la clave privada del certificado
Aparece en: - SecretConfig
| Campo | Descripción |
|---|---|
algorithm PrivateKeyAlgorithm |
El algoritmo es el algoritmo de clave privada de la clave privada correspondiente para este certificado. Si se proporciona, los valores permitidos son RSA,Ed25519 o ECDSA. Si se especifica algorithm y no se proporciona size, se usará un tamaño de clave de 384 para el algoritmo de clave ECDSA y un tamaño de clave de 3072 para el algoritmo de clave RSA. El tamaño de clave se ignora cuando se usa el algoritmo de clave Ed25519. |
size número entero |
El tamaño es el tamaño de bits de la clave correspondiente a la clave privada de este certificado. Si algorithm se establece en RSA, los valores válidos son 2048, 3072, 4096 o 8192, y se establecerá 3072 de forma predeterminada si no se especifica. Si algorithm se establece en ECDSA, los valores válidos son 256, 384 o 521, y se establecerá de forma predeterminada en 384 si no se especifica. Si algorithm se establece en Ed25519, se ignora el tamaño. No se permiten otros valores. |
SecretConfig
SecretConfig define la configuración del secreto del certificado.
Aparece en: - CertificateAuthoritySpec - CertificateSpec
| Campo | Descripción |
|---|---|
secretName string |
Nombre del secreto que contendrá la clave privada y el certificado firmado. |
secretTemplate SecretTemplate |
Define las anotaciones y las etiquetas que se copiarán en el Secret. |
privateKeyConfig PrivateKeyConfig |
Opciones para la clave privada del certificado |
SecretTemplate
SecretTemplate define las etiquetas y anotaciones predeterminadas que se copiarán en el recurso de Secret de Kubernetes llamado en SecretConfig.SecretName.
Aparece en: - SecretConfig
| Campo | Descripción |
|---|---|
annotations objeto (claves:cadena, valores:cadena) |
Annotations es un mapa de clave-valor que se copiará en el objeto Secret de Kubernetes de destino. |
labels objeto (claves:cadena, valores:cadena) |
Labels es un mapa de clave-valor que se copiará en el objeto secreto de Kubernetes de destino. |
SelfSignedCAConfig
SelfSignedCAConfig define la configuración para un certificado de CA raíz.
Aparece en: - CACertificateConfig
SignedCertStatus
Aparece en: - BYOCertStatus
| Campo | Descripción |
|---|---|
conditions arreglo de condiciones |
Es una lista de condiciones de estado para indicar el estado del certificado BYO. - Rechazado: Indica que el certificado no coincide con la CSR. - Listo: Indica que el certificado está listo para usarse. |
SignedCertificateConfig
Aparece en: - ExternalCAConfig
| Campo | Descripción |
|---|---|
certificate arreglo de números enteros |
Es el certificado x509 con codificación PEM que subió el cliente. |
ca arreglo de números enteros |
Es el certificado x509 con codificación PEM de la CA de la entidad certificadora que se usó para firmar el certificado. |
SubjectConfig
Aparece en: - CertificateConfig
| Campo | Descripción |
|---|---|
commonName string |
Es el nombre común del certificado. |
organization string |
Organización del certificado. |
locality string |
Es la localidad del certificado. |
state string |
Es el estado del certificado. |
country string |
Es el país del certificado. |
dnsNames arreglo de strings |
DNSNames es una lista de subjectAltNames de dNSName que se establecerán en el certificado. |
ipAddresses arreglo de strings |
IPAddresses es una lista de subjectAltNames de ipAddress que se establecerán en el certificado. |
rfc822Names arreglo de strings |
RFC822Names es una lista de subjectAltNames de rfc822Name que se establecerán en el certificado. |
uris arreglo de strings |
Los URIs son una lista de subjectAltNames uniformResourceIdentifier que se configurarán en el certificado. |