pki.security.gdc.goog/v1
Contém definições de esquema de API para o grupo de APIs PKI v1.
ACMEConfig
Aparece em: - CertificateAuthoritySpec
| Campo | Descrição |
|---|---|
enabled booleano |
Se a implantação e o acesso à CA serão feitos pelo protocolo ACME. |
ACMEIssuerConfig
Aparece em: - CertificateIssuerSpec
| Campo | Descrição |
|---|---|
rootCACertificate matriz de números inteiros
|
Ele contém os dados da CA raiz dos certificados emitidos pelo servidor ACME. |
acme ACMEIssuer |
O ACME configura esse emissor para se comunicar com um servidor RFC 8555 (ACME) e receber certificados assinados. ACME é um ACMEIssuer acme.cert-manager.io/v1. |
ACMEStatus
Aparece em: - CertificateAuthorityStatus
| Campo | Descrição |
|---|---|
uri string |
O URI é o identificador exclusivo da conta, que também pode ser usado para recuperar detalhes da conta da CA. |
BYOCertIssuerConfig
O BYOCertIssuerConfig define um emissor com base no modelo BYO-Cert.
Aparece em: - CertificateIssuerSpec
| Campo | Descrição |
|---|---|
fallbackCertificateAuthority CAReference |
"FallbackCertificateAuthority" é a referência a uma CA padrão operada pelo CAaaS. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
BYOCertStatus
Aparece em: - CertificateStatus
| Campo | Descrição |
|---|---|
csrStatus CSRStatus |
Status da solicitação de assinatura de certificado (CSR) |
signedCertStatus SignedCertStatus |
Status do certificado assinado externamente |
BYOCertificate
Certificado assinado externamente
Aparece em: - CertificateSpec
| Campo | Descrição |
|---|---|
certificate matriz de números inteiros
|
O certificado x509 codificado em PEM enviado pelo cliente. |
ca matriz de números inteiros
|
O certificado x509 codificado em PEM da CA signatária usada para assinar o certificado. |
CACertificateConfig
O CACertificateConfig define como o certificado da CA será provisionado. Apenas um deles será definido a qualquer momento.
Aparece em: - CertificateAuthoritySpec
| Campo | Descrição |
|---|---|
externalCA ExternalCAConfig |
Receba o certificado de uma CA raiz externa. Se definido, uma CSR será gerada no status, e o certificado assinado poderá ser enviado usando este campo. |
selfSignedCA SelfSignedCAConfig |
Emitir um certificado autoassinado. (CA raiz) |
managedSubCA ManagedSubCAConfig |
Emitir um certificado de subCA de uma CA gerenciada pelo GDC. (Sub CA gerenciada) |
CACertificateProfile
CACertificateProfile define o perfil de um certificado de CA.
Aparece em: - CertificateAuthoritySpec
| Campo | Descrição |
|---|---|
commonName string |
O nome comum do certificado da CA. |
organizations matriz de string |
Organizações a serem usadas no certificado. |
countries matriz de string |
Países a serem usados no certificado. |
organizationalUnits matriz de string |
Unidades organizacionais a serem usadas no certificado. |
localities matriz de string |
Cidades a serem usadas no certificado. |
provinces matriz de string |
Estado/províncias a serem usadas no certificado. |
streetAddresses matriz de string |
Endereços de rua a serem usados no certificado. |
postalCodes matriz de string |
Códigos postais a serem usados no certificado. |
duration Duração |
A "duração" (ou seja, ciclo de vida) solicitada do certificado da CA. |
renewBefore Duração |
"RenewBefore" implica o tempo de rotação antes da expiração do certificado da CA. |
maxPathLength número inteiro |
O comprimento máximo do caminho do certificado de CA. |
CAReference
CAReference representa uma referência a CertificateAuthority. Ele tem informações para recuperar uma CA em qualquer namespace.
Aparece em: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| Campo | Descrição |
|---|---|
name string |
O nome é exclusivo em um namespace para referenciar um recurso de AC. |
namespace string |
O namespace define o espaço em que o nome da AC precisa ser exclusivo. |
CAaaSIssuerConfig
CAaaSIssuerConfig define um emissor que solicita certificados de uma CA criada usando o serviço CAaaS.
Aparece em: - CertificateIssuerSpec
| Campo | Descrição |
|---|---|
certificateAuthorityRef CAReference |
Uma referência a uma CertificationAuthority que vai assinar o certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CSRStatus
Aparece em: - BYOCertStatus
| Campo | Descrição |
|---|---|
conditions Matriz de condição |
Lista de condições de status para indicar o status de uma CSR de certificado BYO: WaitingforSigning: indica que uma nova CSR foi gerada para ser assinada pelo cliente. - Pronto: indica que a CSR foi assinada. |
csr matriz de números inteiros
|
Armazena a CSR para o cliente assinar. |
Certificado
Um certificado representa um certificado gerenciado.
Aparece em: - CertificateList
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
Certificate |
metadata ObjectMeta |
Consulte a documentação da API Kubernetes para saber mais sobre os campos de metadata. |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority representa a autoridade certificadora individual que será usada para emitir os certificados.
Aparece em: - CertificateAuthorityList
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateAuthority |
metadata ObjectMeta |
Consulte a documentação da API Kubernetes para saber mais sobre os campos de metadata. |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
"CertificateAuthorityList" representa uma coleção de autoridades certificadoras.
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateAuthorityList |
metadata ListMeta |
Consulte a documentação da API Kubernetes para saber mais sobre os campos de metadata. |
items CertificateAuthority |
CertificateAuthoritySpec
Aparece em: - CertificateAuthority
| Campo | Descrição |
|---|---|
caProfile CACertificateProfile |
O perfil da CertificateAuthority. |
caCertificate CACertificateConfig |
A configuração de provisionamento de certificado da CA. |
secretConfig SecretConfig |
Configuração do secret da CA |
certificateProfile CertificateProfile |
Define o perfil dos certificados que serão emitidos. |
acme ACMEConfig |
Configuração relacionada à ativação do protocolo ACME. |
CertificateAuthorityStatus
Aparece em: - CertificateAuthority
| Campo | Descrição |
|---|---|
externalCA ExternalCAStatus |
O ExternalCA especifica opções de status para o SunCA assinado pela CA raiz externa. |
errorStatus ErrorStatus |
ErrorStatus contém uma lista de erros atuais e o carimbo de data/hora em que esse campo é atualizado. |
conditions Matriz de condição |
Lista de condições de status para indicar o status de uma autoridade certificadora. - Pendente: as CSRs estão aguardando a assinatura do cliente. - Pronto: indica que a autoridade de certificação está pronta para uso. |
acme ACMEStatus |
Opções de status específicas do ACME. Esse campo só precisa ser definido se a autoridade certificadora estiver configurada com o ACME ativado. |
CertificateConfig
CertificateConfig representa as informações do assunto em um certificado emitido.
Aparece em: - CertificateRequestSpec
| Campo | Descrição |
|---|---|
subjectConfig SubjectConfig |
Esses valores são usados para criar os campos de nome distinto e nome alternativo do assunto em um certificado X.509. |
privateKeyConfig CertificatePrivateKey |
Opções de chave privada. Isso inclui o algoritmo e o tamanho da chave. |
CertificateIssuer
"CertificateIssuer" representa um emissor para "Certificado como serviço".
Para marcar um CertificateIssuer como o emissor padrão, adicione/defina o rótulo pki.security.gdc.goog/is-default-issuer: true.
Aparece em: - CertificateIssuerList
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateIssuer |
metadata ObjectMeta |
Consulte a documentação da API Kubernetes para saber mais sobre os campos de metadata. |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
"CertificateIssuerList" representa uma coleção de emissores de certificados.
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateIssuerList |
metadata ListMeta |
Consulte a documentação da API Kubernetes para saber mais sobre os campos de metadata. |
items CertificateIssuer |
CertificateIssuerSpec
Aparece em: - CertificateIssuer
| Campo | Descrição |
|---|---|
byoCertConfig BYOCertIssuerConfig |
O BYOCertConfig configura esse emissor no modo BYO-Cert. |
caaasConfig CAaaSIssuerConfig |
O CAaaSConfig configura esse emissor para assinar certificados usando a CA implantada pela API CertificateAuthority. |
acmeConfig ACMEIssuerConfig |
O ACMEConfig configura esse emissor para assinar certificados usando o servidor ACME. |
CertificateIssuerStatus
Aparece em: - CertificateIssuer
| Campo | Descrição |
|---|---|
ca matriz de números inteiros
|
Armazena a CA raiz usada pelo emissor do certificado atual. |
conditions Matriz de condição |
Lista de condições de status para indicar o status do CertificateIssuer. - Ready: indica que o CertificateIssuer está pronto para uso. |
CertificateList
"CertificateList" representa uma coleção de certificados.
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateList |
metadata ListMeta |
Consulte a documentação da API Kubernetes para saber mais sobre os campos de metadata. |
items Matriz Certificate |
CertificatePrivateKey
Aparece em: - CertificateConfig
| Campo | Descrição |
|---|---|
algorithm PrivateKeyAlgorithm |
O algoritmo é o algoritmo de chave privada da chave privada correspondente para este certificado. Se fornecidos, os valores permitidos são RSA, Ed25519 ou ECDSA. Se algorithm for especificado e size não for fornecido, o tamanho da chave 384 será usado para o algoritmo de chave ECDSA, e o tamanho da chave 3072 será usado para o algoritmo de chave RSA. O tamanho da chave é ignorado ao usar o algoritmo de chave Ed25519. Consulte github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go para mais informações. |
size número inteiro |
O tamanho é o tamanho do bit da chave privada correspondente para esse certificado. Se algorithm estiver definido como RSA, os valores válidos serão 2048, 3072, 4096 ou 8192, e o padrão será 3072 se não for especificado. Se algorithm for definido como ECDSA, os valores válidos serão 256, 384 ou 521, e o padrão será 384 se não for especificado. Se algorithm estiver definido como Ed25519, o tamanho será ignorado. Nenhum outro valor é permitido. Consulte github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go para mais informações. |
CertificateProfile
"CertificateProfile" define a especificação do perfil de um certificado emitido.
Aparece em: - CertificateAuthoritySpec
| Campo | Descrição |
|---|---|
keyUsage Matriz KeyUsageBits |
Usos de chave permitidos para certificados emitidos neste perfil. |
extendedKeyUsage ExtendedKeyUsageBits |
Usos de chave estendidos permitidos para certificados emitidos com este perfil. Isso é opcional para SelfSignedCA e obrigatório para ManagedSubCA e ExternalCA. |
CertificateRequest
"CertificateRequest" representa uma solicitação para emitir um certificado da "CertificateAuthority" referenciada.
Todos os campos no spec do CertificateRequest são imutáveis após a criação.
Aparece em: - CertificateRequestList
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateRequest |
metadata ObjectMeta |
Consulte a documentação da API Kubernetes para saber mais sobre os campos de metadata. |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
"CertificateRequestList" representa uma coleção de solicitações de certificado.
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateRequestList |
metadata ListMeta |
Consulte a documentação da API Kubernetes para saber mais sobre os campos de metadata. |
items Matriz de CertificateRequest |
CertificateRequestSpec
O CertificateRequestSpec define uma solicitação para a emissão de um certificado.
Aparece em: - CertificateRequest
| Campo | Descrição |
|---|---|
csr matriz de números inteiros
|
Solicitação de assinatura de certificado para assinar usando a CA. |
certificateConfig CertificateConfig |
Configuração de certificado que será usada para criar a CSR. |
notBefore Tempo |
Horário de início da validade do certificado. Se não for definido, vamos usar o horário atual da solicitação. |
notAfter Tempo |
Hora de término da validade do certificado. Se não for definido, usaremos 90 dias a partir do horário "notBefore" como padrão. |
signedCertificateSecret string |
Nome do secret para armazenar o certificado assinado. |
certificateAuthorityRef CAReference |
Uma referência a uma CertificateAuthority que vai assinar o certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CertificateRequestStatus
Aparece em: - CertificateRequest
| Campo | Descrição |
|---|---|
conditions Matriz de condição |
Lista de condições de status para indicar o status de um certificado a ser emitido. - PENDING: CSRs pendentes de assinatura. - Pronto: indica que o certificateRequest foi atendido. |
autoGeneratedPrivateKey SecretReference |
Se nenhuma CSR for fornecida, uma chave privada gerada automaticamente será usada. Opcional. |
CertificateSpec
Aparece em: - Certificado
| Campo | Descrição |
|---|---|
issuer IssuerReference |
Uma referência ao CertificateIssuer que será usado para a emissão do certificado. Se não estiver definido, um rótulo chamado pki.security.gdc.goog/use-default-issuer: true precisará ser definido para emitir o certificado usando o emissor padrão. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateIssuer |
commonName string |
Atributo de assunto do certificado X509 de nome comum solicitado. Ele precisa ter 64 caracteres ou menos. Para compatibilidade com versões anteriores, o comportamento é o seguinte: se for nulo, usaremos o comportamento atual para definir commonName como o primeiro DNSName se o comprimento for de 64 caracteres ou menos. Se for uma string vazia, não o defina. Se estiver definido, verifique se ele faz parte dos SANs. |
dnsNames matriz de string |
"DNSNames" é uma lista de nomes de host totalmente qualificados a serem definidos no certificado. |
ipAddresses matriz de string |
"IPAddresses" é uma lista de subjectAltNames de IPAddress a serem definidos no certificado. |
duration Duração |
A "duração" (ou seja, o ciclo de vida) solicitada do certificado. |
renewBefore Duração |
"RenewBefore" implica o tempo de rotação antes da expiração do certificado. |
secretConfig SecretConfig |
Configuração do secret do certificado. |
byoCertificate BYOCertificate |
Contém o certificado assinado externamente. |
CertificateStatus
Aparece em: - Certificado
| Campo | Descrição |
|---|---|
conditions Matriz de condição |
Lista de condições de status para indicar o status do certificado. - Pronto: indica que o certificado está pronto para uso. |
issuedBy IssuerReference |
Uma referência ao CertificateIssuer usado para a emissão do certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus especifica opções de status para o modo "byo-certificates". |
errorStatus ErrorStatus |
ErrorStatus contém uma lista de erros atuais e o carimbo de data/hora em que esse campo é atualizado. |
ExtendedKeyUsageBits
Tipo subjacente:string
ExtendedKeyUsageBits define os diferentes usos de chave estendidos permitidos de acordo com a RFC 5280 4.2.1.12.
Muitos usos estendidos de chaves foram definidos por RFCs de acompanhamento e podem ser implementados como um recurso posterior
se a emissão desses certificados for necessária, para casos como certificados usados para autenticação
pessoal, assinatura de código ou IPSec.
Aparece em: - CertificateProfile
ExternalCAConfig
Aparece em: - CACertificateConfig
| Campo | Descrição |
|---|---|
signedCertificate SignedCertificateConfig |
Armazena um certificado assinado por uma CA raiz externa. |
ExternalCAStatus
Aparece em: - CertificateAuthorityStatus
| Campo | Descrição |
|---|---|
csr matriz de números inteiros
|
Uma solicitação de assinatura de certificado aguardando assinatura de uma CA externa. |
IssuerReference
"IssuerReference" representa uma referência do emissor. Ele tem informações para recuperar um emissor em qualquer namespace.
Aparece em: - CertificateSpec - CertificateStatus
| Campo | Descrição |
|---|---|
name string |
O nome é exclusivo em um namespace para referenciar um recurso de emissor. |
namespace string |
O namespace define o espaço em que o nome do emissor precisa ser exclusivo. |
KeyUsageBits
Tipo subjacente:string
KeyUsageBits define os diferentes usos de chave permitidos de acordo com a RFC 5280 4.2.1.3. Muitos dos usos de chave abaixo são usados para certificados fora do contexto do TLS, e a implementação da definição de bits não TLS pode ser implementada como um recurso posterior.
Aparece em: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig define a configuração de um certificado de CA de subCA.
Aparece em: - CACertificateConfig
| Campo | Descrição |
|---|---|
certificateAuthorityRef CAReference |
Uma referência a uma CertificateAuthority que vai assinar o certificado da subautoridade de certificação. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
PrivateKeyAlgorithm
Tipo subjacente:string
Aparece em: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig define a configuração da chave privada do certificado.
Aparece em: - SecretConfig
| Campo | Descrição |
|---|---|
algorithm PrivateKeyAlgorithm |
O algoritmo é o algoritmo de chave privada da chave privada correspondente para este certificado. Se fornecidos, os valores permitidos são RSA, Ed25519 ou ECDSA. Se algorithm for especificado e size não for fornecido, o tamanho da chave 384 será usado para o algoritmo de chave ECDSA, e o tamanho da chave 3072 será usado para o algoritmo de chave RSA. O tamanho da chave é ignorado ao usar o algoritmo de chave Ed25519. |
size número inteiro |
O tamanho é o tamanho do bit da chave privada correspondente para esse certificado. Se algorithm estiver definido como RSA, os valores válidos serão 2048, 3072, 4096 ou 8192, e o padrão será 3072 se não for especificado. Se algorithm for definido como ECDSA, os valores válidos serão 256, 384 ou 521, e o padrão será 384 se não for especificado. Se algorithm estiver definido como Ed25519, o tamanho será ignorado. Nenhum outro valor é permitido. |
SecretConfig
O SecretConfig define a configuração do secret do certificado.
Aparece em: - CertificateAuthoritySpec - CertificateSpec
| Campo | Descrição |
|---|---|
secretName string |
O nome do Secret que vai conter a chave privada e o certificado assinado. |
secretTemplate SecretTemplate |
Define as anotações e os rótulos a serem copiados para o Secret. |
privateKeyConfig PrivateKeyConfig |
Opções para a chave privada do certificado |
SecretTemplate
O SecretTemplate define os rótulos e as anotações padrão a serem copiados
para o recurso Secret do Kubernetes nomeado em SecretConfig.SecretName.
Aparece em: - SecretConfig
| Campo | Descrição |
|---|---|
annotations objeto (chaves:string, valores:string) |
"Annotations" é um mapa de chave-valor a ser copiado para o secret de destino do Kubernetes. |
labels objeto (chaves:string, valores:string) |
"Labels" é um mapa de chave-valor a ser copiado para o Secret do Kubernetes de destino. |
SelfSignedCAConfig
"SelfSignedCAConfig" define a configuração de um certificado de CA raiz.
Aparece em: - CACertificateConfig
SignedCertStatus
Aparece em: - BYOCertStatus
| Campo | Descrição |
|---|---|
conditions Matriz de condição |
Lista de condições de status para indicar o status do certificado BYO. - Rejeitado: indica que o certificado não corresponde à solicitação de assinatura de certificado. - Pronto: indica que o certificado está pronto para uso. |
SignedCertificateConfig
Aparece em: - ExternalCAConfig
| Campo | Descrição |
|---|---|
certificate matriz de números inteiros
|
O certificado x509 codificado em PEM enviado pelo cliente. |
ca matriz de números inteiros
|
O certificado x509 codificado em PEM da CA signatária usada para assinar o certificado. |
SubjectConfig
Aparece em: - CertificateConfig
| Campo | Descrição |
|---|---|
commonName string |
O nome comum do certificado. |
organization string |
A organização do certificado. |
locality string |
A localidade do certificado. |
state string |
O estado do certificado. |
country string |
O país do certificado. |
dnsNames matriz de string |
DNSNames é uma lista de subjectAltNames dNSName a serem definidos no certificado. |
ipAddresses matriz de string |
"IPAddresses" é uma lista de subjectAltNames ipAddress a serem definidos no certificado. |
rfc822Names matriz de string |
"RFC822Names" é uma lista de subjectAltNames rfc822Name a serem definidos no certificado. |
uris matriz de string |
URIs é uma lista de subjectAltNames uniformResourceIdentifier a serem definidas no certificado. |