デフォルトの証明書発行者を変更する

Google Distributed Cloud（GDC）エアギャップは、ウェブ証明書を取得するための公開鍵基盤（PKI）API を提供します。このページでは、デフォルトの証明書発行者を別の発行者に変更する手順について説明します。PKI 証明書モードの詳細については、ウェブ TLS 証明書の構成をご覧ください。

始める前に

PKI のデフォルト証明書発行者を構成するために必要な権限を取得するには、組織の IAM 管理者に、システム Namespace の Infra PKI 管理者（infra-pki-admin）ロールの付与を依頼してください。

デフォルトの証明書発行者を変更する

1. デフォルトの発行者のラベルは次のようになります。各 Namespace について、1 つの CertificateIssuer に次のラベルが含まれている必要があります。

   pki.security.gdc.goog/is-default-issuer: 'true'
   

2. pki-system Namespace の現在のデフォルト発行者を表示します。

   kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true
   

   出力は次のようになります。

   NAME                    READY   REASON       ISDEFAULT
   default-tls-ca-issuer   True    CAaaSReady   true
   

3. 既存のデフォルト発行者を編集し、発行者からデフォルト発行者ラベルを更新します。

   kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'
   

   CURRENT_DEFAULT_ISSUER は、現在のデフォルトの証明書発行者の名前に置き換えます。

4. 新しい CertificateIssuer をデフォルトの発行者として設定するには、ラベルを更新します。

   kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true
   

   NEW_DEFAULT_ISSUER は、新しいデフォルトの証明書発行者の名前に置き換えます。

証明書の再発行を手動でトリガーする

デフォルトの証明書発行者を切り替えても、証明書がまもなく期限切れになる場合を除き、Distributed Cloud は以前のデフォルトの証明書発行者によって署名された証明書を自動的に再発行しません。新しいデフォルト発行者を使用して証明書をすぐに再発行するには、PKI ウェブ証明書を手動で再発行するをご覧ください。