此页面由 Cloud Translation API 翻译。

更改默认证书颁发者

Google Distributed Cloud (GDC) air-gapped 提供了一个公钥基础结构 (PKI) API 来获取 Web 证书。本页面介绍了如何将默认证书签发者更改为其他签发者。如需详细了解 PKI 证书模式，请参阅网络 TLS 证书配置。

准备工作

如需获得配置 PKI 默认证书签发者所需的权限，请让您的组织 IAM 管理员为您授予系统命名空间中的 Infra PKI Admin (infra-pki-admin) 角色。

默认的发布者标签类似于以下示例。对于每个命名空间，一个 CertificateIssuer 必须包含以下标签：
```
pki.security.gdc.goog/is-default-issuer: 'true'
```

查看 pki-system 命名空间中的当前默认签发者：

kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true

输出类似于以下内容：

NAME                    READY   REASON       ISDEFAULT
default-tls-ca-issuer   True    CAaaSReady   true

修改现有默认发卡机构，并更新发卡机构中的默认发卡机构标签：
```
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'
```
将 CURRENT_DEFAULT_ISSUER 替换为当前默认证书签发者的名称。
如需将新的 CertificateIssuer 设置为默认签发者，请更新标签：
```
kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true
```
将 NEW_DEFAULT_ISSUER 替换为新的默认证书签发者的名称。

切换默认证书签发者后，除非证书即将过期，否则 Distributed Cloud 不会自动重新签发由之前的默认证书签发者签名的证书。如需立即使用新的默认签发者重新签发证书，请参阅手动重新签发 PKI 网络证书。