Modificare l'emittente di certificati predefinita

Google Distributed Cloud (GDC) con air gap fornisce un'API Public Key Infrastructure (PKI) per ottenere certificati web. Questa pagina fornisce istruzioni per modificare l'emittente di certificati predefinita con un'altra emittente. Per saperne di più sulle modalità dei certificati PKI, consulta Configurazione del certificato TLS web.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per configurare l'emittente di certificati PKI predefinita, chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore PKI dell'infrastruttura (infra-pki-admin) nello spazio dei nomi di sistema.

Modificare l'autorità emittente del certificato predefinita

  1. L'etichetta dell'emittente predefinita è simile all'esempio seguente. Per ogni spazio dei nomi, un CertificateIssuer deve contenere l'etichetta:

    pki.security.gdc.goog/is-default-issuer: 'true'

  2. Visualizza l'emittente predefinita corrente nello spazio dei nomi pki-system:

    kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true

    L'output è simile al seguente:

    NAME                    READY   REASON       ISDEFAULT
default-tls-ca-issuer   True    CAaaSReady   true

  3. Modifica l'emittente predefinita esistente e aggiorna l'etichetta dell'emittente predefinita dell'emittente:

    kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'

    Sostituisci CURRENT_DEFAULT_ISSUER con il nome dell'emittente del certificato predefinito corrente.

  4. Per impostare il nuovo CertificateIssuer come emittente predefinita, aggiorna l'etichetta:

    kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true

    Sostituisci NEW_DEFAULT_ISSUER con il nome del nuovo emittente di certificati predefinito.

Attivare manualmente la riemissione del certificato

Dopo aver cambiato l'emittente di certificati predefinita, Distributed Cloud non riemetterà automaticamente i certificati firmati dall'emittente di certificati predefinita precedente, a meno che il certificato non stia per scadere. Per riemettere immediatamente i certificati con il nuovo emittente predefinito, consulta Riemettere manualmente i certificati web PKI.