pki.security.gdc.goog/v1
PKI v1 API グループの API スキーマ定義が含まれています。
ACMEConfig
表示場所: - CertificateAuthoritySpec
| フィールド | 説明 |
|---|---|
enabled ブール値 |
ACME プロトコルを介して CA をデプロイしてアクセスするかどうか。 |
ACMEIssuerConfig
表示場所: - CertificateIssuerSpec
| フィールド | 説明 |
|---|---|
rootCACertificate 整数配列 |
これには、ACME サーバーによって発行された証明書のルート CA データが含まれます。 |
acme ACMEIssuer |
ACME は、署名付き証明書を取得するために RFC 8555(ACME)サーバーと通信するようにこの発行元を構成します。ACME は acme.cert-manager.io/v1 ACMEIssuer です。 |
ACMEStatus
表示場所: - CertificateAuthorityStatus
| フィールド | 説明 |
|---|---|
uri 文字列 |
URI は一意のアカウント識別子です。CA からアカウントの詳細を取得するためにも使用できます。 |
BYOCertIssuerConfig
BYOCertIssuerConfig は、BYO-Cert モデルに基づいて発行者を定義します。
表示場所: - CertificateIssuerSpec
| フィールド | 説明 |
|---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority は、デフォルトの CAaaS 運用 CA への参照です。API タイプ: - グループ: pki.security.gdc.goog - 種類: CertificateAuthority |
BYOCertStatus
表示場所: - CertificateStatus
| フィールド | 説明 |
|---|---|
csrStatus CSRStatus |
証明書署名リクエスト(CSR)のステータス |
signedCertStatus SignedCertStatus |
外部署名済み証明書のステータス |
BYOCertificate
外部署名証明書
表示場所: - CertificateSpec
| フィールド | 説明 |
|---|---|
certificate 整数配列 |
お客様がアップロードした PEM でエンコードされた x509 証明書。 |
ca 整数配列 |
証明書の署名に使用される署名者 CA の PEM でエンコードされた x509 証明書。 |
CACertificateConfig
CACertificateConfig は、CA 証明書をプロビジョニングする方法を定義します。これらのうちの 1 つのみが、任意の時点で設定されます。
表示場所: - CertificateAuthoritySpec
| フィールド | 説明 |
|---|---|
externalCA ExternalCAConfig |
外部ルート CA から証明書を取得します。設定すると、ステータスに CSR が生成され、このフィールドを使用して署名付き証明書をアップロードできます。 |
selfSignedCA SelfSignedCAConfig |
自己署名証明書を発行します。(ルート CA) |
managedSubCA ManagedSubCAConfig |
GDC マネージド CA から SubCA 証明書を発行します。(マネージド下位 CA) |
CACertificateProfile
CACertificateProfile は、CA 証明書のプロファイルを定義します。
表示場所: - CertificateAuthoritySpec
| フィールド | 説明 |
|---|---|
commonName 文字列 |
CA 証明書の共通名。 |
organizations 文字列配列 |
証明書で使用される組織。 |
countries 文字列配列 |
証明書で使用する国。 |
organizationalUnits 文字列配列 |
証明書で使用する組織部門。 |
localities 文字列配列 |
証明書に記載する市区町村。 |
provinces 文字列配列 |
証明書で使用する州/都道府県。 |
streetAddresses 文字列配列 |
証明書で使用される住所。 |
postalCodes 文字列配列 |
証明書で使用する郵便番号。 |
duration 期間 |
CA 証明書の要求された「期間」(有効期間)。 |
renewBefore 期間 |
RenewBefore は、CA 証明書の有効期限が切れる前のローテーション時間を意味します。 |
maxPathLength 整数 |
CA 証明書の最大パス長。 |
CAReference
CAReference は CertificateAuthority 参照を表します。任意の Namespace で CA を取得するための情報が含まれています。
表示される場所: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| フィールド | 説明 |
|---|---|
name 文字列 |
名前は、CA リソースを参照する Namespace 内で一意です。 |
namespace 文字列 |
Namespace は、CA 名が一意である必要がある空間を定義します。 |
CAaaSIssuerConfig
CAaaSIssuerConfig は、CAaaS サービスを使用して作成された CA から証明書をリクエストする発行者を定義します。
表示場所: - CertificateIssuerSpec
| フィールド | 説明 |
|---|---|
certificateAuthorityRef CAReference |
証明書に署名する CertificationAuthority への参照。API タイプ: - グループ: pki.security.gdc.goog - 種類: CertificateAuthority |
CSRStatus
表示場所: - BYOCertStatus
| フィールド | 説明 |
|---|---|
conditions 条件の配列 |
BYO 証明書 CSR のステータスを示すステータス条件のリスト - WaitingforSigning: お客様が署名する新しい CSR が生成されたことを示します。- Ready: CSR が署名されたことを示します |
csr 整数配列 |
お客様が署名する CSR を保存します。 |
証明書
Certificate は、マネージド証明書を表します。
表示場所: - CertificateList
| フィールド | 説明 |
|---|---|
apiVersion 文字列 |
pki.security.gdc.goog/v1 |
kind 文字列 |
Certificate |
metadata ObjectMeta |
metadata のフィールドについては、Kubernetes API のドキュメントをご覧ください。 |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority は、証明書の発行に使用される個々の認証局を表します。
表示場所: - CertificateAuthorityList
| フィールド | 説明 |
|---|---|
apiVersion 文字列 |
pki.security.gdc.goog/v1 |
kind 文字列 |
CertificateAuthority |
metadata ObjectMeta |
metadata のフィールドについては、Kubernetes API のドキュメントをご覧ください。 |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList は、認証局のコレクションを表します。
| フィールド | 説明 |
|---|---|
apiVersion 文字列 |
pki.security.gdc.goog/v1 |
kind 文字列 |
CertificateAuthorityList |
metadata ListMeta |
metadata のフィールドについては、Kubernetes API のドキュメントをご覧ください。 |
items CertificateAuthority 配列 |
CertificateAuthoritySpec
表示場所: - CertificateAuthority
| フィールド | 説明 |
|---|---|
caProfile CACertificateProfile |
CertificateAuthority のプロファイル。 |
caCertificate CACertificateConfig |
CA 証明書のプロビジョニング構成。 |
secretConfig SecretConfig |
CA シークレットの構成 |
certificateProfile CertificateProfile |
発行される証明書のプロファイルを定義します。 |
acme ACMEConfig |
ACME プロトコルを有効にするための構成。 |
CertificateAuthorityStatus
表示場所: - CertificateAuthority
| フィールド | 説明 |
|---|---|
externalCA ExternalCAStatus |
ExternalCA は、外部ルート CA によって署名された SunCA のステータス オプションを指定します。 |
errorStatus ErrorStatus |
ErrorStatus には、現在のエラーのリストと、このフィールドが更新されたタイムスタンプが含まれます。 |
conditions 条件の配列 |
認証局のステータスを示すステータス条件のリスト。- Pending(保留中): CSR はお客様の署名待ちです。- Ready: 認証局を使用できる状態であることを示します。 |
acme ACMEStatus |
ACME 固有のステータス オプション。このフィールドは、ACME が有効になっている認証局が構成されている場合にのみ設定する必要があります。 |
CertificateConfig
CertificateConfig は、発行された証明書のサブジェクト情報を表します。
表示場所: - CertificateRequestSpec
| フィールド | 説明 |
|---|---|
subjectConfig SubjectConfig |
これらの値は、X.509 証明書の識別名とサブジェクト代替名フィールドの作成に使用されます。 |
privateKeyConfig CertificatePrivateKey |
秘密鍵のオプション。これには、鍵のアルゴリズムとサイズが含まれます。 |
CertificateIssuer
CertificateIssuer は、Certificate as a Service の発行元を表します。CertificateIssuer をデフォルトの発行者としてマークするには、ラベル pki.security.gdc.goog/is-default-issuer: true を追加または設定します。
表示場所: - CertificateIssuerList
| フィールド | 説明 |
|---|---|
apiVersion 文字列 |
pki.security.gdc.goog/v1 |
kind 文字列 |
CertificateIssuer |
metadata ObjectMeta |
metadata のフィールドについては、Kubernetes API のドキュメントをご覧ください。 |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList は、証明書発行者のコレクションを表します。
| フィールド | 説明 |
|---|---|
apiVersion 文字列 |
pki.security.gdc.goog/v1 |
kind 文字列 |
CertificateIssuerList |
metadata ListMeta |
metadata のフィールドについては、Kubernetes API のドキュメントをご覧ください。 |
items CertificateIssuer 配列 |
CertificateIssuerSpec
表示場所: - CertificateIssuer
| フィールド | 説明 |
|---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig は、BYO-Cert モードでこの発行者を構成します。 |
caaasConfig CAaaSIssuerConfig |
CAaaSConfig は、CertificateAuthority API によってデプロイされた CA を使用して証明書に署名するようにこの発行元を構成します。 |
acmeConfig ACMEIssuerConfig |
ACMEConfig は、ACME サーバーを使用して証明書に署名するようにこの発行元を構成します。 |
CertificateIssuerStatus
表示場所: - CertificateIssuer
| フィールド | 説明 |
|---|---|
ca 整数配列 |
現在の証明書発行者が使用するルート CA を保存します。 |
conditions 条件の配列 |
CertificateIssuer のステータスを示すステータス条件のリスト。- Ready: CertificateIssuer を使用できる状態であることを示します。 |
CertificateList
CertificateList は証明書のコレクションを表します。
| フィールド | 説明 |
|---|---|
apiVersion 文字列 |
pki.security.gdc.goog/v1 |
kind 文字列 |
CertificateList |
metadata ListMeta |
metadata のフィールドについては、Kubernetes API のドキュメントをご覧ください。 |
items Certificate 配列 |
CertificatePrivateKey
表示場所: - CertificateConfig
| フィールド | 説明 |
|---|---|
algorithm PrivateKeyAlgorithm |
Algorithm は、この証明書の対応する秘密鍵の秘密鍵アルゴリズムです。指定された場合、許容される値は RSA、Ed25519、ECDSA のいずれかです。algorithm が指定され、size が指定されていない場合、ECDSA キーアルゴリズムには 384 のキーサイズが使用され、RSA キーアルゴリズムには 3072 のキーサイズが使用されます。Ed25519 キーアルゴリズムを使用する場合、キーサイズは無視されます。詳細については、github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go をご覧ください。 |
size 整数 |
サイズは、この証明書の対応する秘密鍵の鍵ビットサイズです。algorithm が RSA に設定されている場合、有効な値は 2048、3072、4096、8192 です。指定されていない場合は、デフォルトで 3072 になります。algorithm が ECDSA に設定されている場合、有効な値は 256、384、521 です。指定しない場合は、デフォルトで 384 になります。algorithm が Ed25519 に設定されている場合、Size は無視されます。他の値は使用できません。詳細については、github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go をご覧ください。 |
CertificateProfile
CertificateProfile は、発行された証明書のプロファイルの仕様を定義します。
表示場所: - CertificateAuthoritySpec
| フィールド | 説明 |
|---|---|
keyUsage KeyUsageBits 配列 |
このプロファイルで発行される証明書で許可される鍵の用途。 |
extendedKeyUsage ExtendedKeyUsageBits 配列 |
このプロファイルで発行される証明書で許可される拡張鍵の使用。これは SelfSignedCA では省略可能ですが、ManagedSubCA と ExternalCA の両方で必須です。 |
CertificateRequest
CertificateRequest は、参照された CertificateAuthority から証明書を発行するリクエストを表します。
CertificateRequest の spec 内のすべてのフィールドは、作成後に変更できません。
表示場所: - CertificateRequestList
| フィールド | 説明 |
|---|---|
apiVersion 文字列 |
pki.security.gdc.goog/v1 |
kind 文字列 |
CertificateRequest |
metadata ObjectMeta |
metadata のフィールドについては、Kubernetes API のドキュメントをご覧ください。 |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList は、証明書リクエストのコレクションを表します。
| フィールド | 説明 |
|---|---|
apiVersion 文字列 |
pki.security.gdc.goog/v1 |
kind 文字列 |
CertificateRequestList |
metadata ListMeta |
metadata のフィールドについては、Kubernetes API のドキュメントをご覧ください。 |
items CertificateRequest 配列 |
CertificateRequestSpec
CertificateRequestSpec は、証明書の発行リクエストを定義します。
表示場所: - CertificateRequest
| フィールド | 説明 |
|---|---|
csr 整数配列 |
CA を使用して署名する証明書署名リクエスト。 |
certificateConfig CertificateConfig |
CSR の作成に使用される証明書構成。 |
notBefore 時間 |
証明書の有効期間の開始時刻。設定しない場合、リクエストの現在の時刻が使用されます。 |
notAfter 時間 |
証明書の有効期限。設定しない場合、デフォルトとして notBefore 時間から 90 日間が使用されます。 |
signedCertificateSecret 文字列 |
署名済み証明書を保存する Secret の名前。 |
certificateAuthorityRef CAReference |
証明書に署名する CertificateAuthority への参照。API タイプ: - グループ: pki.security.gdc.goog - 種類: CertificateAuthority |
CertificateRequestStatus
表示場所: - CertificateRequest
| フィールド | 説明 |
|---|---|
conditions 条件の配列 |
発行される証明書のステータスを示すステータス条件のリスト。- PENDING: CSR の署名が保留中です。- Ready: certificateRequest が完了したことを示します。 |
autoGeneratedPrivateKey SecretReference |
CSR が指定されていない場合は、自動生成された秘密鍵が使用されます。省略可 |
CertificateSpec
表示場所: - 証明書
| フィールド | 説明 |
|---|---|
issuer IssuerReference |
証明書の発行に使用される CertificateIssuer への参照。設定されていない場合は、デフォルトの発行者を使用して証明書を発行するために、pki.security.gdc.goog/use-default-issuer: true というラベルを設定する必要があります。API タイプ: - グループ: pki.security.gdc.goog - 種類: CertificateIssuer |
commonName 文字列 |
リクエストされた共通名 X509 証明書のサブジェクト属性。64 文字以下にする必要があります。下位互換性のため、動作は次のようになります。nil の場合、長さが 64 文字以下の場合は、現在の動作を使用して commonName を最初の DNSName として設定します。空の文字列の場合、設定しません。設定されている場合は、SAN の一部であることを確認します。 |
dnsNames 文字列配列 |
DNSNames は、証明書に設定する完全修飾ホスト名のリストです。 |
ipAddresses 文字列配列 |
IPAddresses は、証明書に設定される IPAddress subjectAltName のリストです。 |
duration 期間 |
証明書の要求された「期間」(有効期間)。 |
renewBefore 期間 |
RenewBefore は、証明書の有効期限が切れる前のローテーション時間を意味します。 |
secretConfig SecretConfig |
Certificate Secret の構成。 |
byoCertificate BYOCertificate |
外部で署名された証明書が含まれています |
CertificateStatus
表示場所: - 証明書
| フィールド | 説明 |
|---|---|
conditions 条件の配列 |
証明書のステータスを示すステータス条件のリスト。- Ready: 証明書を使用できる状態であることを示します。 |
issuedBy IssuerReference |
証明書の発行に使用される CertificateIssuer への参照。API タイプ: - グループ: pki.security.gdc.goog - 種類: CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus は、byo-certificates モードのステータス オプションを指定します。 |
errorStatus ErrorStatus |
ErrorStatus には、現在のエラーのリストと、このフィールドが更新されたタイムスタンプが含まれます。 |
ExtendedKeyUsageBits
基になる型: string
ExtendedKeyUsageBits は、RFC 5280 4.2.1.12 に従って、許可されるさまざまな拡張鍵の用途を定義します。多くの拡張鍵用途が後続の RFC で定義されており、個人認証、コード署名、IPSec など、このような証明書の発行が必要な場合は、後続の機能として実装できます。
表示場所: - CertificateProfile
ExternalCAConfig
表示場所: - CACertificateConfig
| フィールド | 説明 |
|---|---|
signedCertificate SignedCertificateConfig |
外部ルート CA によって署名された署名済み証明書を保存します。 |
ExternalCAStatus
表示場所: - CertificateAuthorityStatus
| フィールド | 説明 |
|---|---|
csr 整数配列 |
外部 CA による署名を待機している証明書署名リクエスト。 |
IssuerReference
IssuerReference は発行者参照を表します。これには、任意の Namespace で発行者を取得するための情報が含まれています。
表示場所: - CertificateSpec - CertificateStatus
| フィールド | 説明 |
|---|---|
name 文字列 |
名前は、Issuer リソースを参照する Namespace 内で一意です。 |
namespace 文字列 |
Namespace は、発行者名が一意である必要がある空間を定義します。 |
KeyUsageBits
基になる型: string
KeyUsageBits は、RFC 5280 4.2.1.3 に従って、許可されているさまざまな鍵の用途を定義します。以下のキー使用法の多くは TLS のコンテキスト外の証明書に使用され、非 TLS ビットの設定の実装は後続の機能として実装できます。
表示場所: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig は、SubCA CA 証明書の構成を定義します。
表示場所: - CACertificateConfig
| フィールド | 説明 |
|---|---|
certificateAuthorityRef CAReference |
SubCA 証明書に署名する CertificateAuthority への参照。API タイプ: - グループ: pki.security.gdc.goog - 種類: CertificateAuthority |
PrivateKeyAlgorithm
基になる型: string
表示場所: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig は、証明書の秘密鍵の構成を定義します。
表示場所: - SecretConfig
| フィールド | 説明 |
|---|---|
algorithm PrivateKeyAlgorithm |
Algorithm は、この証明書の対応する秘密鍵の秘密鍵アルゴリズムです。指定された場合、許容される値は RSA、Ed25519、ECDSA のいずれかです。algorithm が指定され、size が指定されていない場合、ECDSA キーアルゴリズムには 384 のキーサイズが使用され、RSA キーアルゴリズムには 3072 のキーサイズが使用されます。Ed25519 キーアルゴリズムを使用する場合、キーサイズは無視されます。 |
size 整数 |
サイズは、この証明書の対応する秘密鍵の鍵ビットサイズです。algorithm が RSA に設定されている場合、有効な値は 2048、3072、4096、8192 です。指定されていない場合は、デフォルトで 3072 になります。algorithm が ECDSA に設定されている場合、有効な値は 256、384、521 です。指定しない場合は、デフォルトで 384 になります。algorithm が Ed25519 に設定されている場合、Size は無視されます。他の値は使用できません。 |
SecretConfig
SecretConfig は、証明書シークレットの構成を定義します。
表示場所: - CertificateAuthoritySpec - CertificateSpec
| フィールド | 説明 |
|---|---|
secretName 文字列 |
秘密鍵と署名済み証明書を保持する Secret の名前。 |
secretTemplate SecretTemplate |
Secret にコピーするアノテーションとラベルを定義します。 |
privateKeyConfig PrivateKeyConfig |
証明書の秘密鍵のオプション |
SecretTemplate
SecretTemplate は、SecretConfig.SecretName で指定された Kubernetes Secret リソースにコピーされるデフォルトのラベルとアノテーションを定義します。
表示場所: - SecretConfig
| フィールド | 説明 |
|---|---|
annotations オブジェクト(キー:文字列、値:文字列) |
Annotations は、ターゲット Kubernetes Secret にコピーされる Key-Value マップです。 |
labels オブジェクト(キー:文字列、値:文字列) |
ラベルは、ターゲットの Kubernetes Secret にコピーされる Key-Value マップです。 |
SelfSignedCAConfig
SelfSignedCAConfig は、ルート CA 証明書の構成を定義します。
表示場所: - CACertificateConfig
SignedCertStatus
表示場所: - BYOCertStatus
| フィールド | 説明 |
|---|---|
conditions 条件の配列 |
BYO 証明書のステータスを示すステータス条件のリスト。- Rejected: 証明書が CSR と一致しないことを示します。- Ready: 証明書を使用できる状態であることを示します。 |
SignedCertificateConfig
表示場所: - ExternalCAConfig
| フィールド | 説明 |
|---|---|
certificate 整数配列 |
お客様がアップロードした PEM でエンコードされた x509 証明書。 |
ca 整数配列 |
証明書の署名に使用される署名者 CA の PEM でエンコードされた x509 証明書。 |
SubjectConfig
表示場所: - CertificateConfig
| フィールド | 説明 |
|---|---|
commonName 文字列 |
証明書の共通名。 |
organization 文字列 |
証明書の組織。 |
locality 文字列 |
証明書の地域。 |
state 文字列 |
証明書の状態。 |
country 文字列 |
証明書の国。 |
dnsNames 文字列配列 |
DNSNames は、証明書に設定する dNSName subjectAltNames のリストです。 |
ipAddresses 文字列配列 |
IPAddresses は、証明書に設定される ipAddress subjectAltNames のリストです。 |
rfc822Names 文字列配列 |
RFC822Names は、証明書に設定される rfc822Name subjectAltNames のリストです。 |
uris 文字列配列 |
URIs は、証明書に設定される uniformResourceIdentifier subjectAltNames のリストです。 |