Google Distributed Cloud (GDC) 氣隙隔離提供公開金鑰基礎架構 (PKI) API,可取得網頁憑證。本頁提供操作說明,協助您將預設憑證核發機構變更為其他機構。如要進一步瞭解 PKI 憑證模式,請參閱「Web TLS certificate configuration」(網頁 TLS 憑證設定)。
事前準備
如要取得設定 PKI 預設憑證簽發機構所需的權限,請要求機構 IAM 管理員在系統命名空間中,授予您基礎架構 PKI 管理員 (infra-pki-admin) 角色。
變更預設憑證核發機構
預設發卡機構標籤如下所示。每個命名空間都必須包含標籤:
CertificateIssuerpki.security.gdc.goog/is-default-issuer: 'true'在
pki-system命名空間中查看目前的預設簽發者:kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true輸出看起來類似以下內容:
NAME READY REASON ISDEFAULT default-tls-ca-issuer True CAaaSReady true編輯現有的預設發卡機構,並更新發卡機構的預設發卡機構標籤:
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'將 CURRENT_DEFAULT_ISSUER 替換為目前預設憑證核發機構的名稱。
如要將新的
CertificateIssuer設為預設簽發者,請更新標籤:kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true將 NEW_DEFAULT_ISSUER 替換為新的預設憑證簽發者名稱。
手動觸發憑證重新核發程序
切換預設憑證核發機構後,除非憑證即將到期,否則 Distributed Cloud 不會自動重新核發由先前預設憑證核發機構簽署的憑證。如要立即使用新的預設簽發者重新核發憑證,請參閱「手動重新核發 PKI 網路憑證」。