O Google Distributed Cloud (GDC) com isolamento físico oferece uma API de infraestrutura de chave pública (PKI) para receber certificados da Web. Nesta página, fornecemos instruções para mudar o emissor de certificado padrão para outro. Para mais informações sobre modos de certificado PKI, consulte Configuração de certificado TLS da Web.
Antes de começar
Para receber as permissões necessárias para configurar o emissor de certificado padrão da PKI,
peça ao administrador do IAM da organização para conceder a você a função de administrador da PKI de infraestrutura
(infra-pki-admin) no namespace do sistema.
Mudar o emissor de certificado padrão
O rótulo do emissor padrão é parecido com o exemplo a seguir. Para cada namespace, um
CertificateIssuerprecisa conter o rótulo:pki.security.gdc.goog/is-default-issuer: 'true'Confira o emissor padrão atual no namespace
pki-system:kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=trueA saída será assim:
NAME READY REASON ISDEFAULT default-tls-ca-issuer True CAaaSReady trueEdite o emissor padrão atual e atualize o rótulo dele no emissor:
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'Substitua CURRENT_DEFAULT_ISSUER pelo nome do emissor de certificado padrão atual.
Para definir o novo
CertificateIssuercomo o emissor padrão, atualize o rótulo:kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=trueSubstitua NEW_DEFAULT_ISSUER pelo nome do novo emissor de certificado padrão.
Acionar manualmente a reemissão de certificados
Depois de mudar o emissor de certificado padrão, o Distributed Cloud não vai reemitir automaticamente os certificados assinados pelo emissor de certificado padrão anterior, a menos que o certificado esteja prestes a expirar. Para reemitir imediatamente certificados com o novo emissor padrão, consulte Reemitir manualmente certificados da Web da ICP.