pki.security.gdc.goog/v1
Contient les définitions du schéma d'API pour le groupe d'API PKI v1.
ACMEConfig
Apparaît dans :CertificateAuthoritySpec
| Champ | Description |
|---|---|
enabled booléen |
Indique si la CA doit être déployée et accessible via le protocole ACME. |
ACMEIssuerConfig
Apparaît dans :CertificateIssuerSpec
| Champ | Description |
|---|---|
Tableau d'entiers rootCACertificate |
Il contient les données de l'autorité de certification racine des certificats émis par le serveur ACME. |
acme ACMEIssuer |
ACME configure cet émetteur pour communiquer avec un serveur RFC 8555 (ACME) afin d'obtenir des certificats signés. ACME est un ACMEIssuer acme.cert-manager.io/v1. |
ACMEStatus
Apparaît dans :CertificateAuthorityStatus
| Champ | Description |
|---|---|
chaîne uri |
L'URI est l'identifiant unique du compte, qui peut également être utilisé pour récupérer les détails du compte auprès de l'AC. |
BYOCertIssuerConfig
BYOCertIssuerConfig définit un émetteur basé sur le modèle BYO-Cert.
Apparaît dans :CertificateIssuerSpec
| Champ | Description |
|---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority est la référence à une autorité de certification CAaaS par défaut. Type d'API : - Groupe : pki.security.gdc.goog - Type : CertificateAuthority |
BYOCertStatus
Apparaît dans :CertificateStatus
| Champ | Description |
|---|---|
csrStatus CSRStatus |
État de la demande de signature de certificat (CSR) |
signedCertStatus SignedCertStatus |
État du certificat signé en externe |
BYOCertificate
Certificat signé en externe
Apparaît dans :CertificateSpec
| Champ | Description |
|---|---|
Tableau d'entiers certificate |
Certificat X.509 encodé au format PEM importé par le client. |
Tableau d'entiers ca |
Certificat X.509 encodé au format PEM de l'autorité de certification du signataire utilisée pour signer le certificat. |
CACertificateConfig
CACertificateConfig définit la manière dont le certificat de l'autorité de certification sera provisionné. Un seul d'entre eux sera défini à un moment donné.
Apparaît dans :CertificateAuthoritySpec
| Champ | Description |
|---|---|
externalCA ExternalCAConfig |
Obtenez le certificat auprès d'une autorité de certification racine externe. Si ce champ est défini, une CSR sera générée sur l'état et le certificat signé pourra être importé à l'aide de ce champ. |
selfSignedCA SelfSignedCAConfig |
Émettez un certificat autosigné. (Autorité de certification racine) |
managedSubCA ManagedSubCAConfig |
Émettez un certificat d'autorité de certification intermédiaire à partir d'une autorité de certification gérée par GDC. (AC subordonnée gérée) |
CACertificateProfile
CACertificateProfile définit le profil d'un certificat CA.
Apparaît dans :CertificateAuthoritySpec
| Champ | Description |
|---|---|
chaîne commonName |
Nom commun du certificat de l'autorité de certification. |
Tableau de chaînes organizations |
Organisations à utiliser sur le certificat. |
Tableau de chaînes countries |
Pays à utiliser sur le certificat. |
Tableau de chaînes organizationalUnits |
Unités organisationnelles à utiliser sur le certificat. |
Tableau de chaînes localities |
Villes à utiliser sur le certificat. |
Tableau de chaînes provinces |
États/Provinces à utiliser sur le certificat. |
Tableau de chaînes streetAddresses |
Adresses postales à utiliser sur le certificat. |
Tableau de chaînes postalCodes |
Codes postaux à utiliser sur le certificat. |
duration Durée |
Durée de vie du certificat de l'autorité de certification demandée. |
renewBefore Durée |
RenewBefore implique le délai de rotation avant l'expiration du certificat CA. |
Entier maxPathLength |
Longueur maximale du chemin d'accès du certificat CA. |
CAReference
CAReference représente une référence CertificateAuthority. Il contient des informations permettant de récupérer une CA dans n'importe quel espace de noms.
Apparaît dans : - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| Champ | Description |
|---|---|
chaîne name |
Le nom est unique dans un espace de noms pour faire référence à une ressource d'autorité de certification. |
chaîne namespace |
L'espace de noms définit l'espace dans lequel le nom de l'autorité de certification doit être unique. |
CAaaSIssuerConfig
CAaaSIssuerConfig définit un émetteur qui demande des certificats à une CA créée à l'aide du service CAaaS.
Apparaît dans :CertificateIssuerSpec
| Champ | Description |
|---|---|
certificateAuthorityRef CAReference |
Référence à une CertificationAuthority qui signera le certificat. Type d'API : - Groupe : pki.security.gdc.goog - Type : CertificateAuthority |
CSRStatus
Apparaît dans :BYOCertStatus
| Champ | Description |
|---|---|
Tableau Condition conditions |
Liste des conditions d'état pour indiquer l'état d'une CSR de certificat BYO : WaitingforSigning : indique qu'une nouvelle CSR a été générée pour être signée par le client. - Prêt : indique que la CSR a été signée. |
Tableau d'entiers csr |
Stocke la CSR que le client doit signer. |
Certificat
Un certificat représente un certificat géré.
Apparaît dans :CertificateList
| Champ | Description |
|---|---|
chaîne apiVersion |
pki.security.gdc.goog/v1 |
chaîne kind |
Certificate |
metadata ObjectMeta |
Reportez-vous à la documentation de l'API Kubernetes pour connaître les champs de metadata. |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority représente l'autorité de certification individuelle qui sera utilisée pour émettre les certificats.
Apparaît dans :CertificateAuthorityList
| Champ | Description |
|---|---|
chaîne apiVersion |
pki.security.gdc.goog/v1 |
chaîne kind |
CertificateAuthority |
metadata ObjectMeta |
Reportez-vous à la documentation de l'API Kubernetes pour connaître les champs de metadata. |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList représente une collection d'autorités de certification.
| Champ | Description |
|---|---|
chaîne apiVersion |
pki.security.gdc.goog/v1 |
chaîne kind |
CertificateAuthorityList |
metadata ListMeta |
Reportez-vous à la documentation de l'API Kubernetes pour connaître les champs de metadata. |
items Tableau CertificateAuthority |
CertificateAuthoritySpec
Apparaît dans :CertificateAuthority
| Champ | Description |
|---|---|
caProfile CACertificateProfile |
Profil de l'autorité de certification. |
caCertificate CACertificateConfig |
Configuration du provisionnement du certificat CA. |
secretConfig SecretConfig |
Configuration du secret de l'autorité de certification |
certificateProfile CertificateProfile |
Définit le profil des certificats qui seront émis. |
acme ACMEConfig |
Configuration permettant d'activer le protocole ACME. |
CertificateAuthorityStatus
Apparaît dans :CertificateAuthority
| Champ | Description |
|---|---|
externalCA ExternalCAStatus |
ExternalCA spécifie les options d'état pour SunCA signé par une autorité de certification racine externe. |
errorStatus ErrorStatus |
ErrorStatus contient une liste des erreurs actuelles et l'horodatage de la dernière mise à jour de ce champ. |
Tableau Condition conditions |
Liste des conditions d'état indiquant l'état d'une autorité de certification. - En attente : les CSR doivent encore être signées par le client. - Prêt : indique que l'autorité de certification est prête à être utilisée. |
acme ACMEStatus |
Options d'état spécifiques à ACME. Ce champ ne doit être défini que si l'autorité de certification est configurée avec ACME activé. |
CertificateConfig
CertificateConfig représente les informations sur le sujet dans un certificat émis.
Apparaît dans :CertificateRequestSpec
| Champ | Description |
|---|---|
subjectConfig SubjectConfig |
Ces valeurs sont utilisées pour créer les champs "Nom unique" et "Autre nom de l'objet" dans un certificat X.509. |
privateKeyConfig CertificatePrivateKey |
Options de clé privée. Cela inclut l'algorithme et la taille de la clé. |
CertificateIssuer
CertificateIssuer représente un émetteur pour Certificate as a Service.
Vous pouvez marquer un CertificateIssuer comme émetteur par défaut en ajoutant/définissant le libellé pki.security.gdc.goog/is-default-issuer: true.
Apparaît dans :CertificateIssuerList
| Champ | Description |
|---|---|
chaîne apiVersion |
pki.security.gdc.goog/v1 |
chaîne kind |
CertificateIssuer |
metadata ObjectMeta |
Reportez-vous à la documentation de l'API Kubernetes pour connaître les champs de metadata. |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList représente une collection d'émetteurs de certificats.
| Champ | Description |
|---|---|
chaîne apiVersion |
pki.security.gdc.goog/v1 |
chaîne kind |
CertificateIssuerList |
metadata ListMeta |
Reportez-vous à la documentation de l'API Kubernetes pour connaître les champs de metadata. |
items Tableau CertificateIssuer |
CertificateIssuerSpec
Apparaît dans :CertificateIssuer
| Champ | Description |
|---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig configure cet émetteur en mode BYO-Cert. |
caaasConfig CAaaSIssuerConfig |
CAaaSConfig configure cet émetteur pour qu'il signe les certificats à l'aide de l'autorité de certification déployée par l'API CertificateAuthority. |
acmeConfig ACMEIssuerConfig |
ACMEConfig configure cet émetteur pour qu'il signe les certificats à l'aide du serveur ACME. |
CertificateIssuerStatus
Apparaît dans :CertificateIssuer
| Champ | Description |
|---|---|
Tableau d'entiers ca |
Stocke l'autorité de certification racine utilisée par l'émetteur de certificat actuel. |
Tableau Condition conditions |
Liste des conditions d'état pour indiquer l'état de CertificateIssuer. - Ready : indique que CertificateIssuer est prêt à être utilisé. |
CertificateList
CertificateList représente une collection de certificats.
| Champ | Description |
|---|---|
chaîne apiVersion |
pki.security.gdc.goog/v1 |
chaîne kind |
CertificateList |
metadata ListMeta |
Reportez-vous à la documentation de l'API Kubernetes pour connaître les champs de metadata. |
items Tableau Certificate |
CertificatePrivateKey
Apparaît dans :CertificateConfig
| Champ | Description |
|---|---|
algorithm PrivateKeyAlgorithm |
"Algorithm" correspond à l'algorithme de clé privée de la clé privée correspondante pour ce certificat. Si des valeurs autorisées sont fournies, elles sont RSA,Ed25519 ou ECDSA. Si algorithm est spécifié et que size n'est pas fourni, une taille de clé de 384 sera utilisée pour l'algorithme de clé ECDSA et une taille de clé de 3072 sera utilisée pour l'algorithme de clé RSA. La taille de clé est ignorée lors de l'utilisation de l'algorithme de clé Ed25519. Pour en savoir plus, consultez github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go. |
Entier size |
La taille correspond à la taille en bits de la clé privée correspondante pour ce certificat. Si algorithm est défini sur RSA, les valeurs valides sont 2048, 3072, 4096 ou 8192. La valeur par défaut est 3072 si aucune valeur n'est spécifiée. Si algorithm est défini sur ECDSA, les valeurs valides sont 256, 384 ou 521. La valeur par défaut est 384 si aucune valeur n'est spécifiée. Si algorithm est défini sur Ed25519, la taille est ignorée. Aucune autre valeur n'est autorisée. Pour en savoir plus, consultez github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go. |
CertificateProfile
CertificateProfile définit les spécifications du profil d'un certificat émis.
Apparaît dans :CertificateAuthoritySpec
| Champ | Description |
|---|---|
Tableau KeyUsageBits keyUsage |
Utilisations de clés autorisées pour les certificats émis dans ce profil. |
extendedKeyUsage Tableau ExtendedKeyUsageBits |
Utilisations étendues des clés autorisées pour les certificats émis sous ce profil. Cette option est facultative pour SelfSignedCA, mais obligatoire pour ManagedSubCA et ExternalCA. |
CertificateRequest
CertificateRequest représente une demande d'émission de certificat à partir de l'autorité de certification référencée.
Tous les champs de spec de CertificateRequest sont immuables après la création.
Apparaît dans :CertificateRequestList
| Champ | Description |
|---|---|
chaîne apiVersion |
pki.security.gdc.goog/v1 |
chaîne kind |
CertificateRequest |
metadata ObjectMeta |
Reportez-vous à la documentation de l'API Kubernetes pour connaître les champs de metadata. |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList représente une collection de demandes de certificat.
| Champ | Description |
|---|---|
chaîne apiVersion |
pki.security.gdc.goog/v1 |
chaîne kind |
CertificateRequestList |
metadata ListMeta |
Reportez-vous à la documentation de l'API Kubernetes pour connaître les champs de metadata. |
Tableau CertificateRequest items |
CertificateRequestSpec
CertificateRequestSpec définit une demande d'émission d'un certificat.
Apparaît dans :CertificateRequest
| Champ | Description |
|---|---|
Tableau d'entiers csr |
Demande de signature de certificat à signer à l'aide de l'autorité de certification. |
certificateConfig CertificateConfig |
Configuration du certificat qui sera utilisée pour créer la CSR. |
notBefore Heure |
Heure de début de validité du certificat. Si elle n'est pas définie, nous utiliserons l'heure actuelle de la requête. |
notAfter Heure |
Heure de fin de validité du certificat. Si cette règle n'est pas définie, nous utiliserons par défaut 90 jours à compter de la date "notBefore". |
chaîne signedCertificateSecret |
Nom du secret permettant de stocker le certificat signé. |
certificateAuthorityRef CAReference |
Référence à une CertificateAuthority qui signera le certificat. Type d'API : - Groupe : pki.security.gdc.goog - Type : CertificateAuthority |
CertificateRequestStatus
Apparaît dans :CertificateRequest
| Champ | Description |
|---|---|
Tableau Condition conditions |
Liste des conditions d'état indiquant l'état d'un certificat à émettre. - EN ATTENTE : les CSR sont en attente de signature. - Prêt : indique que la certificateRequest a été traitée. |
autoGeneratedPrivateKey SecretReference |
Si aucune CSR n'est fournie, une clé privée générée automatiquement sera utilisée. facultatif |
CertificateSpec
Apparaît dans :Certificate
| Champ | Description |
|---|---|
issuer IssuerReference |
Référence à CertificateIssuer qui sera utilisé pour l'émission du certificat. Si aucune valeur n'est définie, un libellé nommé pki.security.gdc.goog/use-default-issuer: true doit être défini pour émettre le certificat à l'aide de l'émetteur par défaut. Type d'API : - Groupe : pki.security.gdc.goog - Type : CertificateIssuer |
chaîne commonName |
Attribut d'objet du certificat X.509 avec le nom commun demandé. Il ne doit pas dépasser 64 caractères. Pour assurer la rétrocompatibilité, le comportement est le suivant : si la valeur est nulle, nous utilisons le comportement actuel pour définir commonName comme premier DNSName si la longueur est de 64 caractères ou moins. Si la chaîne est vide, nous ne la définissons pas. Si elle est définie, nous nous assurons qu'elle fait partie des SAN. |
Tableau de chaînes dnsNames |
DNSNames est une liste de noms d'hôte complets à définir sur le certificat. |
Tableau de chaînes ipAddresses |
IPAddresses est une liste de subjectAltNames IPAddress à définir sur le certificat. |
duration Durée |
Durée de validité du certificat demandée. |
renewBefore Durée |
RenewBefore indique le délai de rotation avant l'expiration du certificat. |
secretConfig SecretConfig |
Configuration du secret du certificat. |
byoCertificate BYOCertificate |
Contient le certificat signé en externe. |
CertificateStatus
Apparaît dans :Certificate
| Champ | Description |
|---|---|
Tableau Condition conditions |
Liste des conditions d'état indiquant l'état du certificat. - Prêt : indique que le certificat est prêt à être utilisé. |
issuedBy IssuerReference |
Référence à CertificateIssuer utilisé pour l'émission du certificat. Type d'API : - Groupe : pki.security.gdc.goog - Type : CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus spécifie les options d'état pour le mode byo-certificates. |
errorStatus ErrorStatus |
ErrorStatus contient une liste des erreurs actuelles et l'horodatage de la dernière mise à jour de ce champ. |
ExtendedKeyUsageBits
Type sous-jacent : string
ExtendedKeyUsageBits définit les différentes utilisations de clé étendues autorisées conformément à la section 4.2.1.12 de la norme RFC 5280.
De nombreuses utilisations de clés étendues ont été définies par des RFC ultérieures et peuvent être implémentées en tant que fonctionnalité ultérieure si l'émission de tels certificats est nécessaire, par exemple pour les certificats utilisés pour l'authentification personnelle, la signature de code ou IPSec.
Apparaît dans :CertificateProfile
ExternalCAConfig
Apparaît dans :CACertificateConfig
| Champ | Description |
|---|---|
signedCertificate SignedCertificateConfig |
Stocke un certificat signé par une autorité de certification racine externe. |
ExternalCAStatus
Apparaît dans :CertificateAuthorityStatus
| Champ | Description |
|---|---|
Tableau d'entiers csr |
Demande de signature de certificat en attente d'être signée par une autorité de certification externe. |
IssuerReference
IssuerReference représente une référence d'émetteur. Il contient des informations permettant de récupérer un émetteur dans n'importe quel espace de noms.
Apparaît dans : - CertificateSpec - CertificateStatus
| Champ | Description |
|---|---|
chaîne name |
Le nom est unique dans un espace de noms pour faire référence à une ressource d'émetteur. |
chaîne namespace |
L'espace de noms définit l'espace dans lequel le nom de l'émetteur doit être unique. |
KeyUsageBits
Type sous-jacent : string
KeyUsageBits définit les différentes utilisations de clés autorisées conformément à la section 4.2.1.3 de la RFC 5280. Notez que de nombreuses utilisations de clés ci-dessous sont utilisées pour des certificats en dehors du contexte TLS, et que l'implémentation de la définition de bits non TLS peut être implémentée en tant que fonctionnalité ultérieure.
Apparaît dans :CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig définit la configuration d'un certificat d'autorité de certification SubCA.
Apparaît dans :CACertificateConfig
| Champ | Description |
|---|---|
certificateAuthorityRef CAReference |
Référence à une autorité de certification qui signera le certificat de la sous-autorité de certification. Type d'API : - Groupe : pki.security.gdc.goog - Type : CertificateAuthority |
PrivateKeyAlgorithm
Type sous-jacent : string
Apparaît dans :CertificatePrivateKey, PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig définit la configuration de la clé privée du certificat.
Apparaît dans :SecretConfig
| Champ | Description |
|---|---|
algorithm PrivateKeyAlgorithm |
"Algorithm" correspond à l'algorithme de clé privée de la clé privée correspondante pour ce certificat. Si des valeurs autorisées sont fournies, elles sont RSA,Ed25519 ou ECDSA. Si algorithm est spécifié et que size n'est pas fourni, une taille de clé de 384 sera utilisée pour l'algorithme de clé ECDSA et une taille de clé de 3072 sera utilisée pour l'algorithme de clé RSA. La taille de clé est ignorée lors de l'utilisation de l'algorithme de clé Ed25519. |
Entier size |
La taille correspond à la taille en bits de la clé privée correspondante pour ce certificat. Si algorithm est défini sur RSA, les valeurs valides sont 2048, 3072, 4096 ou 8192. La valeur par défaut est 3072 si aucune valeur n'est spécifiée. Si algorithm est défini sur ECDSA, les valeurs valides sont 256, 384 ou 521. La valeur par défaut est 384 si aucune valeur n'est spécifiée. Si algorithm est défini sur Ed25519, la taille est ignorée. Aucune autre valeur n'est autorisée. |
SecretConfig
SecretConfig définit la configuration du secret du certificat.
Apparaît dans :CertificateAuthoritySpec, CertificateSpec
| Champ | Description |
|---|---|
chaîne secretName |
Nom du Secret qui contiendra la clé privée et le certificat signé. |
secretTemplate SecretTemplate |
Définit les annotations et les libellés à copier dans le secret. |
privateKeyConfig PrivateKeyConfig |
Options pour la clé privée du certificat |
SecretTemplate
SecretTemplate définit les libellés et les annotations par défaut à copier dans la ressource Kubernetes Secret nommée dans SecretConfig.SecretName.
Apparaît dans :SecretConfig
| Champ | Description |
|---|---|
annotations objet (clés : chaîne, valeurs : chaîne) |
"annotations" est un mappage clé-valeur à copier dans le secret Kubernetes cible. |
labels objet (clés : chaîne, valeurs : chaîne) |
"Labels" est un mappage clé-valeur à copier dans le secret Kubernetes cible. |
SelfSignedCAConfig
SelfSignedCAConfig définit la configuration d'un certificat d'autorité de certification racine.
Apparaît dans :CACertificateConfig
SignedCertStatus
Apparaît dans :BYOCertStatus
| Champ | Description |
|---|---|
Tableau Condition conditions |
Liste des conditions d'état pour indiquer l'état du certificat BYO. - Refusé : indique que le certificat ne correspond pas au CSR. - Prêt : indique que le certificat est prêt à être utilisé. |
SignedCertificateConfig
Apparaît dans :ExternalCAConfig
| Champ | Description |
|---|---|
Tableau d'entiers certificate |
Certificat X.509 encodé au format PEM importé par le client. |
Tableau d'entiers ca |
Certificat X.509 encodé au format PEM de l'autorité de certification du signataire utilisée pour signer le certificat. |
SubjectConfig
Apparaît dans :CertificateConfig
| Champ | Description |
|---|---|
chaîne commonName |
Nom commun du certificat. |
chaîne organization |
Organisation du certificat. |
chaîne locality |
Localité du certificat. |
chaîne state |
État du certificat. |
chaîne country |
Pays du certificat. |
Tableau de chaînes dnsNames |
DNSNames est une liste de subjectAltNames dNSName à définir sur le certificat. |
Tableau de chaînes ipAddresses |
IPAddresses est une liste de subjectAltNames ipAddress à définir sur le certificat. |
Tableau de chaînes rfc822Names |
RFC822Names est une liste de subjectAltNames rfc822Name à définir sur le certificat. |
Tableau de chaînes uris |
"uris" est une liste de subjectAltNames uniformResourceIdentifier à définir sur le certificat. |