pki.security.gdc.goog/v1
Contiene le definizioni dello schema API per il gruppo di API PKI v1.
ACMEConfig
Visualizzato in: - CertificateAuthoritySpec
| Campo | Descrizione |
|---|---|
enabled boolean |
Se eseguire il deployment e accedere alla CA tramite il protocollo ACME. |
ACMEIssuerConfig
Visualizzato in: - CertificateIssuerSpec
| Campo | Descrizione |
|---|---|
rootCACertificate array di numeri interi |
Contiene i dati della CA radice dei certificati emessi dal server ACME. |
acme ACMEIssuer |
ACME configura questo emittente per comunicare con un server RFC 8555 (ACME) per ottenere certificati firmati. ACME è un ACMEIssuer acme.cert-manager.io/v1. |
ACMEStatus
Visualizzato in: - CertificateAuthorityStatus
| Campo | Descrizione |
|---|---|
uri stringa |
L'URI è l'identificatore univoco dell'account, che può essere utilizzato anche per recuperare i dettagli dell'account dalla CA |
BYOCertIssuerConfig
BYOCertIssuerConfig definisce un emittente in base al modello BYO-Cert.
Visualizzato in: - CertificateIssuerSpec
| Campo | Descrizione |
|---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority è il riferimento a una CAaaS gestita predefinita. Tipo di API: - Gruppo: pki.security.gdc.goog - Tipo: CertificateAuthority |
BYOCertStatus
Visualizzato in: - CertificateStatus
| Campo | Descrizione |
|---|---|
csrStatus CSRStatus |
Stato della richiesta di firma del certificato (CSR) |
signedCertStatus SignedCertStatus |
Stato del certificato firmato esternamente |
BYOCertificate
Certificato firmato esternamente
Appare in: - CertificateSpec
| Campo | Descrizione |
|---|---|
certificate array di numeri interi |
Il certificato x509 con codifica PEM caricato dal cliente. |
ca array di numeri interi |
Il certificato x509 con codifica PEM della CA del firmatario utilizzato per firmare il certificato. |
CACertificateConfig
CACertificateConfig definisce come verrà eseguito il provisioning del certificato CA. Solo una di queste verrà impostata in un determinato momento.
Visualizzato in: - CertificateAuthoritySpec
| Campo | Descrizione |
|---|---|
externalCA ExternalCAConfig |
Ottieni il certificato da una CA radice esterna. Se impostato, verrà generata una CSR sullo stato e il certificato firmato potrà essere caricato utilizzando questo campo. |
selfSignedCA SelfSignedCAConfig |
Emetti un certificato autofirmato. (CA radice) |
managedSubCA ManagedSubCAConfig |
Emetti un certificato CA secondaria da una CA gestita da GDC. (CA subordinata gestita) |
CACertificateProfile
CACertificateProfile definisce il profilo per un certificato CA.
Visualizzato in: - CertificateAuthoritySpec
| Campo | Descrizione |
|---|---|
commonName stringa |
Il nome comune del certificato CA. |
organizations array di stringhe |
Organizzazioni da utilizzare nel certificato. |
countries array di stringhe |
Paesi da utilizzare nel certificato. |
organizationalUnits array di stringhe |
Unità organizzative da utilizzare nel certificato. |
localities array di stringhe |
Città da utilizzare nel certificato. |
provinces array di stringhe |
Stati/province da utilizzare nel certificato. |
streetAddresses array di stringhe |
Indirizzi da utilizzare nel certificato. |
postalCodes array di stringhe |
I codici postali da utilizzare nel certificato. |
duration Durata |
La "durata" (ovvero la validità) richiesta del certificato CA. |
renewBefore Durata |
RenewBefore indica il tempo di rotazione prima della scadenza del certificato CA. |
maxPathLength integer |
La lunghezza massima del percorso del certificato CA. |
CAReference
CAReference rappresenta un riferimento a CertificateAuthority. Contiene informazioni per recuperare una CA in qualsiasi spazio dei nomi.
Visualizzato in: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| Campo | Descrizione |
|---|---|
name stringa |
Il nome è univoco all'interno di uno spazio dei nomi per fare riferimento a una risorsa CA. |
namespace stringa |
Lo spazio dei nomi definisce lo spazio all'interno del quale il nome della CA deve essere univoco. |
CAaaSIssuerConfig
CAaaSIssuerConfig definisce un emittente che richiede certificati a una CA creata utilizzando il servizio CAaaS.
Visualizzato in: - CertificateIssuerSpec
| Campo | Descrizione |
|---|---|
certificateAuthorityRef CAReference |
Un riferimento a un'autorità di certificazione che firmerà il certificato. Tipo di API: - Gruppo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CSRStatus
Visualizzato in: - BYOCertStatus
| Campo | Descrizione |
|---|---|
conditions Array Condition |
Elenco delle condizioni di stato per indicare lo stato di una CSR BYO Certificate - WaitingforSigning: indica che è stata generata una nuova CSR da firmare dal cliente. - Pronto: indica che la CSR è stata firmata |
csr array di numeri interi |
Memorizza la CSR da firmare per il cliente. |
Certificato
Un certificato rappresenta un certificato gestito.
Visualizzato in: - CertificateList
| Campo | Descrizione |
|---|---|
apiVersion stringa |
pki.security.gdc.goog/v1 |
kind stringa |
Certificate |
metadata ObjectMeta |
Per i campi di metadata, consulta la documentazione dell'API Kubernetes. |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority rappresenta la singola autorità di certificazione che verrà utilizzata per emettere i certificati.
Visualizzato in: - CertificateAuthorityList
| Campo | Descrizione |
|---|---|
apiVersion stringa |
pki.security.gdc.goog/v1 |
kind stringa |
CertificateAuthority |
metadata ObjectMeta |
Per i campi di metadata, consulta la documentazione dell'API Kubernetes. |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList rappresenta una raccolta di autorità di certificazione.
| Campo | Descrizione |
|---|---|
apiVersion stringa |
pki.security.gdc.goog/v1 |
kind stringa |
CertificateAuthorityList |
metadata ListMeta |
Per i campi di metadata, consulta la documentazione dell'API Kubernetes. |
items Array CertificateAuthority |
CertificateAuthoritySpec
Visualizzato in: - CertificateAuthority
| Campo | Descrizione |
|---|---|
caProfile CACertificateProfile |
Il profilo di CertificateAuthority. |
caCertificate CACertificateConfig |
La configurazione del provisioning dei certificati CA. |
secretConfig SecretConfig |
Configurazione del secret CA |
certificateProfile CertificateProfile |
Definisce il profilo dei certificati che verranno emessi. |
acme ACMEConfig |
Configurazione relativa all'abilitazione del protocollo ACME. |
CertificateAuthorityStatus
Visualizzato in: - CertificateAuthority
| Campo | Descrizione |
|---|---|
externalCA ExternalCAStatus |
ExternalCA specifica le opzioni di stato per SunCA firmato dalla CA radice esterna. |
errorStatus ErrorStatus |
ErrorStatus contiene un elenco degli errori attuali e il timestamp di aggiornamento di questo campo. |
conditions Array Condition |
Elenco delle condizioni di stato per indicare lo stato di un'autorità di certificazione. - In attesa: le CSR sono in attesa di essere firmate dal cliente. - Pronto: indica che l'autorità di certificazione è pronta per l'uso. |
acme ACMEStatus |
Opzioni di stato specifiche per ACME. Questo campo deve essere impostato solo se l'autorità di certificazione è configurata con ACME abilitato. |
CertificateConfig
CertificateConfig rappresenta le informazioni sul soggetto in un certificato emesso.
Appare in: - CertificateRequestSpec
| Campo | Descrizione |
|---|---|
subjectConfig SubjectConfig |
Questi valori vengono utilizzati per creare i campi Nome distinto e Nome alternativo del soggetto in un certificato X.509. |
privateKeyConfig CertificatePrivateKey |
Opzioni della chiave privata. Questi includono l'algoritmo e le dimensioni della chiave. |
CertificateIssuer
CertificateIssuer rappresenta un emittente per Certificate as a Service.
Puoi contrassegnare un CertificateIssuer come emittente predefinita aggiungendo/impostando
l'etichetta pki.security.gdc.goog/is-default-issuer: true.
Visualizzato in: - CertificateIssuerList
| Campo | Descrizione |
|---|---|
apiVersion stringa |
pki.security.gdc.goog/v1 |
kind stringa |
CertificateIssuer |
metadata ObjectMeta |
Per i campi di metadata, consulta la documentazione dell'API Kubernetes. |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList rappresenta una raccolta di emittenti di certificati.
| Campo | Descrizione |
|---|---|
apiVersion stringa |
pki.security.gdc.goog/v1 |
kind stringa |
CertificateIssuerList |
metadata ListMeta |
Per i campi di metadata, consulta la documentazione dell'API Kubernetes. |
items CertificateIssuer |
CertificateIssuerSpec
Visualizzato in: - CertificateIssuer
| Campo | Descrizione |
|---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig configura questo emittente in modalità BYO-Cert. |
caaasConfig CAaaSIssuerConfig |
CAaaSConfig configura questo emittente per firmare i certificati utilizzando la CA implementata dall'API CertificateAuthority. |
acmeConfig ACMEIssuerConfig |
ACMEConfig configura questo emittente per firmare i certificati utilizzando il server ACME. |
CertificateIssuerStatus
Visualizzato in: - CertificateIssuer
| Campo | Descrizione |
|---|---|
ca array di numeri interi |
Memorizza la CA radice utilizzata dall'emittente del certificato corrente. |
conditions Array Condition |
Elenco delle condizioni di stato per indicare lo stato di CertificateIssuer. - Pronto: indica che CertificateIssuer è pronto per l'uso. |
CertificateList
CertificateList rappresenta una raccolta di certificati.
| Campo | Descrizione |
|---|---|
apiVersion stringa |
pki.security.gdc.goog/v1 |
kind stringa |
CertificateList |
metadata ListMeta |
Per i campi di metadata, consulta la documentazione dell'API Kubernetes. |
items Array Certificate |
CertificatePrivateKey
Visualizzato in: - CertificateConfig
| Campo | Descrizione |
|---|---|
algorithm PrivateKeyAlgorithm |
Algoritmo è l'algoritmo della chiave privata corrispondente per questo certificato. Se forniti, i valori consentiti sono RSA,Ed25519 o ECDSA. Se viene specificato algorithm e non viene fornito size, verrà utilizzata una dimensione della chiave di 384 per l'algoritmo della chiave ECDSA e una dimensione della chiave di 3072 per l'algoritmo della chiave RSA. La dimensione della chiave viene ignorata quando si utilizza l'algoritmo della chiave Ed25519. Per saperne di più, visita la pagina github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go. |
size integer |
La dimensione è la dimensione in bit della chiave privata corrispondente per questo certificato. Se algorithm è impostato su RSA, i valori validi sono 2048, 3072, 4096 o 8192 e il valore predefinito è 3072 se non specificato. Se algorithm è impostato su ECDSA, i valori validi sono 256, 384 o 521 e il valore predefinito è 384 se non specificato. Se algorithm è impostato su Ed25519, le dimensioni vengono ignorate. Non sono consentiti altri valori. Per saperne di più, visita la pagina github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go. |
CertificateProfile
CertificateProfile definisce la specifica del profilo di un certificato emesso.
Visualizzato in: - CertificateAuthoritySpec
| Campo | Descrizione |
|---|---|
keyUsage KeyUsageBits |
Utilizzi della chiave consentiti per i certificati emessi in questo profilo. |
extendedKeyUsage ExtendedKeyUsageBits |
Utilizzi estesi della chiave consentiti per i certificati emessi in questo profilo. Questo campo è facoltativo per SelfSignedCA ed è obbligatorio per ManagedSubCA ed ExternalCA. |
CertificateRequest
CertificateRequest rappresenta una richiesta di emissione del certificato dall'autorità di certificazione a cui viene fatto riferimento.
Tutti i campi all'interno di spec di CertificateRequest sono immutabili dopo la creazione.
Visualizzato in: - CertificateRequestList
| Campo | Descrizione |
|---|---|
apiVersion stringa |
pki.security.gdc.goog/v1 |
kind stringa |
CertificateRequest |
metadata ObjectMeta |
Per i campi di metadata, consulta la documentazione dell'API Kubernetes. |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList rappresenta una raccolta di richieste di certificati.
| Campo | Descrizione |
|---|---|
apiVersion stringa |
pki.security.gdc.goog/v1 |
kind stringa |
CertificateRequestList |
metadata ListMeta |
Per i campi di metadata, consulta la documentazione dell'API Kubernetes. |
items CertificateRequest |
CertificateRequestSpec
CertificateRequestSpec definisce una richiesta di emissione di un certificato.
Visualizzato in: - CertificateRequest
| Campo | Descrizione |
|---|---|
csr array di numeri interi |
Richiesta di firma del certificato da firmare utilizzando la CA. |
certificateConfig CertificateConfig |
Configurazione del certificato che verrà utilizzata per creare la CSR. |
notBefore Ora |
Ora di inizio della validità del certificato. Se non è impostato, verrà utilizzato l'orario corrente della richiesta. |
notAfter Ora |
Ora di fine validità del certificato. Se non è impostato, utilizzeremo 90 giorni a partire dall'ora notBefore come valore predefinito. |
signedCertificateSecret stringa |
Nome del secret in cui archiviare il certificato firmato. |
certificateAuthorityRef CAReference |
Un riferimento a un'autorità di certificazione che firmerà il certificato. Tipo di API: - Gruppo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CertificateRequestStatus
Visualizzato in: - CertificateRequest
| Campo | Descrizione |
|---|---|
conditions Array Condition |
Elenco delle condizioni di stato per indicare lo stato di un certificato da emettere. - IN ATTESA: le richieste CSR sono in attesa di firma. - Pronto: indica che certificateRequest è stato completato. |
autoGeneratedPrivateKey SecretReference |
Se non viene fornita alcuna richiesta di firma del certificato, verrà utilizzata una chiave privata generata automaticamente. Facoltativo |
CertificateSpec
Visualizzato in: - Certificato
| Campo | Descrizione |
|---|---|
issuer IssuerReference |
Un riferimento a CertificateIssuer che verrà utilizzato per l'emissione del certificato. Se non è impostata, è necessario impostare un'etichetta denominata pki.security.gdc.goog/use-default-issuer: true per emettere il certificato utilizzando l'emittente predefinita. Tipo di API: - Gruppo: pki.security.gdc.goog - Tipo: CertificateIssuer |
commonName stringa |
Attributo soggetto del certificato X509 con nome comune richiesto. Deve contenere al massimo 64 caratteri. Per la compatibilità con le versioni precedenti, il comportamento è il seguente: se è nullo, utilizziamo il comportamento attuale per impostare commonName come primo DNSName se la lunghezza è pari o inferiore a 64 caratteri. Se è una stringa vuota, non impostarlo. Se è impostato, assicurati che faccia parte dei SAN. |
dnsNames array di stringhe |
DNSNames è un elenco di nomi host completi da impostare nel certificato. |
ipAddresses array di stringhe |
IPAddresses è un elenco di subjectAltNames IPAddress da impostare nel certificato. |
duration Durata |
La "durata" (ovvero la validità) richiesta del certificato. |
renewBefore Durata |
RenewBefore indica il tempo di rotazione prima della scadenza del certificato. |
secretConfig SecretConfig |
Configurazione del secret del certificato. |
byoCertificate BYOCertificate |
Contiene il certificato firmato esternamente |
CertificateStatus
Visualizzato in: - Certificato
| Campo | Descrizione |
|---|---|
conditions Array Condition |
Elenco delle condizioni di stato per indicare lo stato del certificato. - Pronto: indica che il certificato è pronto per l'uso. |
issuedBy IssuerReference |
Un riferimento a CertificateIssuer utilizzato per l'emissione del certificato. Tipo di API: - Gruppo: pki.security.gdc.goog - Tipo: CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus specifica le opzioni di stato per la modalità BYO-certificates. |
errorStatus ErrorStatus |
ErrorStatus contiene un elenco degli errori attuali e il timestamp di aggiornamento di questo campo. |
ExtendedKeyUsageBits
Tipo sottostante: string
ExtendedKeyUsageBits definisce i diversi utilizzi avanzati delle chiavi consentiti in base a RFC 5280 4.2.1.12.
Molti utilizzi estesi della chiave sono stati definiti da RFC successive e possono essere implementati come funzionalità successiva
se è necessaria l'emissione di questi certificati, per casi come i certificati utilizzati per l'autenticazione personale, la firma del codice o IPSec.
Appare in: - CertificateProfile
ExternalCAConfig
Appare in: - CACertificateConfig
| Campo | Descrizione |
|---|---|
signedCertificate SignedCertificateConfig |
Memorizza un certificato firmato dalla CA radice esterna. |
ExternalCAStatus
Visualizzato in: - CertificateAuthorityStatus
| Campo | Descrizione |
|---|---|
csr array di numeri interi |
Una richiesta di firma del certificato in attesa di essere firmata da una CA esterna. |
IssuerReference
IssuerReference rappresenta un riferimento dell'emittente. Contiene informazioni per recuperare un emittente in qualsiasi spazio dei nomi.
Visualizzato in: - CertificateSpec - CertificateStatus
| Campo | Descrizione |
|---|---|
name stringa |
Il nome è univoco all'interno di uno spazio dei nomi per fare riferimento a una risorsa emittente. |
namespace stringa |
Lo spazio dei nomi definisce lo spazio all'interno del quale il nome dell'emittente deve essere univoco. |
KeyUsageBits
Tipo sottostante: string
KeyUsageBits definisce i diversi utilizzi consentiti delle chiavi in base a RFC 5280 4.2.1.3. Tieni presente che
molti degli utilizzi delle chiavi riportati di seguito vengono utilizzati per i certificati al di fuori del contesto di TLS e l'implementazione dell'impostazione dei bit non TLS può essere implementata come funzionalità successiva.
Appare in: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig definisce la configurazione per un certificato CA SubCA.
Appare in: - CACertificateConfig
| Campo | Descrizione |
|---|---|
certificateAuthorityRef CAReference |
Un riferimento a un'autorità di certificazione che firmerà il certificato della CA secondaria. Tipo di API: - Gruppo: pki.security.gdc.goog - Tipo: CertificateAuthority |
PrivateKeyAlgorithm
Tipo sottostante: string
Appare in: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig definisce la configurazione della chiave privata del certificato
Appare in: - SecretConfig
| Campo | Descrizione |
|---|---|
algorithm PrivateKeyAlgorithm |
Algoritmo è l'algoritmo della chiave privata corrispondente per questo certificato. Se forniti, i valori consentiti sono RSA,Ed25519 o ECDSA. Se viene specificato algorithm e non viene fornito size, verrà utilizzata una dimensione della chiave di 384 per l'algoritmo della chiave ECDSA e una dimensione della chiave di 3072 per l'algoritmo della chiave RSA. La dimensione della chiave viene ignorata quando si utilizza l'algoritmo della chiave Ed25519. |
size integer |
La dimensione è la dimensione in bit della chiave privata corrispondente per questo certificato. Se algorithm è impostato su RSA, i valori validi sono 2048, 3072, 4096 o 8192 e il valore predefinito è 3072 se non specificato. Se algorithm è impostato su ECDSA, i valori validi sono 256, 384 o 521 e il valore predefinito è 384 se non specificato. Se algorithm è impostato su Ed25519, le dimensioni vengono ignorate. Non sono consentiti altri valori. |
SecretConfig
SecretConfig definisce la configurazione del secret del certificato.
Visualizzato in: - CertificateAuthoritySpec - CertificateSpec
| Campo | Descrizione |
|---|---|
secretName stringa |
Il nome del secret che conterrà la chiave privata e il certificato firmato. |
secretTemplate SecretTemplate |
Definisce le annotazioni e le etichette da copiare nel secret. |
privateKeyConfig PrivateKeyConfig |
Opzioni per la chiave privata del certificato |
SecretTemplate
SecretTemplate definisce le etichette e le annotazioni predefinite da copiare
nella risorsa Secret di Kubernetes denominata in SecretConfig.SecretName.
Appare in: - SecretConfig
| Campo | Descrizione |
|---|---|
annotations object (keys:string, values:string) |
Le annotazioni sono una mappa chiave-valore da copiare nel secret Kubernetes di destinazione. |
labels object (keys:string, values:string) |
Labels è una mappa chiave-valore da copiare nel secret Kubernetes di destinazione. |
SelfSignedCAConfig
SelfSignedCAConfig definisce la configurazione per un certificato CA radice.
Appare in: - CACertificateConfig
SignedCertStatus
Visualizzato in: - BYOCertStatus
| Campo | Descrizione |
|---|---|
conditions Array Condition |
Elenco delle condizioni di stato per indicare lo stato del certificato BYO. - Rifiutato: indica che il certificato non corrisponde al CSR. - Pronto: indica che il certificato è pronto per l'uso. |
SignedCertificateConfig
Visualizzato in: - ExternalCAConfig
| Campo | Descrizione |
|---|---|
certificate array di numeri interi |
Il certificato x509 con codifica PEM caricato dal cliente. |
ca array di numeri interi |
Il certificato x509 con codifica PEM della CA del firmatario utilizzato per firmare il certificato. |
SubjectConfig
Visualizzato in: - CertificateConfig
| Campo | Descrizione |
|---|---|
commonName stringa |
Il nome comune del certificato. |
organization stringa |
L'organizzazione del certificato. |
locality stringa |
La località del certificato. |
state stringa |
Lo stato del certificato. |
country stringa |
Il paese del certificato. |
dnsNames array di stringhe |
DNSNames è un elenco di SubjectAltName dNSName da impostare nel certificato. |
ipAddresses array di stringhe |
IPAddresses è un elenco di subjectAltNames ipAddress da impostare nel certificato. |
rfc822Names array di stringhe |
RFC822Names è un elenco di nomi alternativi del soggetto rfc822Name da impostare nel certificato. |
uris array di stringhe |
URI è un elenco di subjectAltName uniformResourceIdentifier da impostare nel certificato. |