Diese Seite wurde von der Cloud Translation API übersetzt.

Standardzertifikatsaussteller ändern

Google Distributed Cloud (GDC) mit Air Gap bietet eine PKI-API (Public-Key-Infrastruktur) zum Abrufen von Webzertifikaten. Auf dieser Seite finden Sie eine Anleitung zum Ändern des Standardzertifikatausstellers in einen anderen Aussteller. Weitere Informationen zu PKI-Zertifikatsmodi finden Sie unter Web-TLS-Zertifikatskonfiguration.

Hinweise

Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Infra PKI Admin“ (infra-pki-admin) im System-Namespace zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren des Standardausstellers von PKI-Zertifikaten benötigen.

Standardzertifikatsaussteller ändern

Das Standardlabel des Ausstellers sieht so aus: Für jeden Namespace muss ein CertificateIssuer das Label enthalten:
```
pki.security.gdc.goog/is-default-issuer: 'true'
```

Rufen Sie den aktuellen Standardaussteller im Namespace pki-system auf:

kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true

Die Ausgabe sieht dann ungefähr so aus:

NAME                    READY   REASON       ISDEFAULT
default-tls-ca-issuer   True    CAaaSReady   true

Bearbeiten Sie den vorhandenen Standardaussteller und aktualisieren Sie das Standardausstellerlabel über den Aussteller:
```
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'
```
Ersetzen Sie CURRENT_DEFAULT_ISSUER durch den Namen des aktuellen Standardzertifikatausstellers.
Wenn Sie den neuen CertificateIssuer als Standardaussteller festlegen möchten, aktualisieren Sie das Label:
```
kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true
```
Ersetzen Sie NEW_DEFAULT_ISSUER durch den Namen des neuen Standardzertifikatausstellers.

Zertifikatausstellung manuell auslösen

Nachdem Sie den Standardzertifikataussteller gewechselt haben, werden Zertifikate, die vom vorherigen Standardzertifikataussteller signiert wurden, nicht automatisch von Distributed Cloud neu ausgestellt, es sei denn, das Zertifikat läuft bald ab. Informationen zum sofortigen Neuausstellen von Zertifikaten mit dem neuen Standardaussteller finden Sie unter PKI-Webzertifikate manuell neu ausstellen.