Google Distributed Cloud (GDC) dengan air gap menyediakan API infrastruktur kunci publik (PKI) untuk mendapatkan sertifikat web. Halaman ini memberikan petunjuk untuk mengubah penerbit sertifikat default ke penerbit lain. Untuk mengetahui informasi selengkapnya tentang mode sertifikat PKI, lihat Konfigurasi sertifikat TLS web.
Sebelum memulai
Untuk mendapatkan izin yang diperlukan guna mengonfigurasi penerbit sertifikat default PKI, minta Admin IAM Organisasi Anda untuk memberi Anda peran Admin PKI Infra (infra-pki-admin) di namespace sistem.
Mengubah penerbit sertifikat default
Label penerbit default terlihat seperti contoh berikut. Untuk setiap namespace, satu
CertificateIssuerharus berisi label:pki.security.gdc.goog/is-default-issuer: 'true'Melihat penerbit default saat ini di namespace
pki-system:kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=trueOutputnya terlihat mirip dengan yang berikut ini:
NAME READY REASON ISDEFAULT default-tls-ca-issuer True CAaaSReady trueEdit penerbit default yang ada, dan perbarui label penerbit default dari penerbit:
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'Ganti CURRENT_DEFAULT_ISSUER dengan nama penerbit sertifikat default saat ini.
Untuk menetapkan
CertificateIssuerbaru sebagai penerbit default, perbarui label:kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=trueGanti NEW_DEFAULT_ISSUER dengan nama penerbit sertifikat default baru.
Memicu penerbitan ulang sertifikat secara manual
Setelah Anda mengganti penerbit sertifikat default, Distributed Cloud tidak akan otomatis menerbitkan ulang sertifikat yang ditandatangani oleh penerbit sertifikat default sebelumnya, kecuali jika masa berlaku sertifikat akan segera berakhir. Untuk segera menerbitkan ulang sertifikat dengan penerbit default baru, lihat Menerbitkan ulang sertifikat web PKI secara manual.