Configuración del certificado TLS web

Google Distributed Cloud (GDC) aislado proporciona una API de infraestructura de clave pública (PKI) para que obtengas un certificado web. Esta API admite varios modos de usuario:

  • Completamente administrados: Son certificados emitidos por la infraestructura de PKI de GDC y encadenados a una autoridad certificadora (CA) raíz autofirmada y administrada por GDC.
  • Certificado BYO: Proporcionas un grupo de certificados con un certificado comodín predeterminado. GDC usará el certificado que mejor coincida con tu servicio.
  • Certificado BYO con ACME: Son los certificados que usan los servicios públicos y que emite tu servidor ACME.
  • SubCA externa: Son certificados emitidos por la infraestructura de PKI de GDC y encadenados a tu SubCA. Debes proporcionar la SubCA y permitir que GDC la opere.

Definiciones del modo de PKI de Infra

En esta sección, se proporciona una explicación detallada de cada modo de usuario de la PKI.

Modo completamente administrado (modo predeterminado)

En el modo completamente administrado, cada clúster de administrador de la organización depende de la infraestructura de clave pública (PKI) de GDC para emitir certificados. Cuando creas una organización nueva, este modo es el predeterminado que se aplica. Después, puedes cambiar a otro modo de PKI.

Con este modo, debes obtener y distribuir la CA raíz en tu entorno para establecer la confianza.

Modo de PKI completamente administrada

Modo BYO Certificates

El modo de certificado BYO admite la firma de certificados de hoja con AC externas o administradas por el usuario. En este modo, se genera una solicitud de firma de certificado (CSR) para cada solicitud de certificado. Mientras espera la firma, el modo de certificado BYO busca un certificado firmado por el cliente existente entre el grupo que coincida con la solicitud de certificado:

  • Si no encuentra un certificado coincidente, una CA de respaldo administrada por GDC emite un certificado temporal listo para usarse de inmediato.
  • Si encuentra un certificado coincidente, lo usa como certificado temporal para la solicitud actual.

Para firmar la CSR, debes seguir estos pasos:

  1. Descarga la CSR desde el estado del recurso personalizado Certificate.
  2. Sube el certificado firmado y el certificado de la CA externa al mismo recurso personalizado Certificate con una actualización del campo spec.

Para administrar la verificación y reemplazar el certificado temporal, Distributed Cloud actualiza el secreto del certificado con el certificado subido y la CA externa. No es necesario que cambies tus almacenes de confianza.

Para obtener más información, consulta Firma el certificado BYO.

Modo de certificados BYO de PKI

Certificados BYO con el modo ACME

Con el modo BYO Cert con ACME, se implementa un cliente de ACME administrado por GDC en un sitio de Distributed Cloud y se comunica con un servidor de ACME, que es una CA que implementas en tu sitio. El servidor ACME usa el protocolo ACME para solicitar, validar y administrar certificados.

El protocolo ACME admite diferentes desafíos, por ejemplo, HTTP-01 y DNS-01. Estos desafíos ayudan a demostrar la propiedad del dominio y a obtener certificados automáticamente. Distributed Cloud usa el desafío DNS-01. Con este desafío, el cliente de Distributed Cloud agrega un registro DNS específico a la zona DNS del dominio. Una vez que el desafío se complete correctamente, la CA de ACME emitirá el certificado automáticamente. No es necesario que cambies tus almacenes de confianza.

Para obtener más información sobre el protocolo ACME, consulta el documento público de Datatracker para el RFC 8555: https://datatracker.ietf.org/doc/html/rfc8555.

Certificados de PKI BYO con modo ACME

Modo de SubCA externa {:byo-subca-mode}\

Con el modo de SubCA externa, se genera una CSR para la SubCA dentro del clúster de administrador de la organización de Distributed Cloud. Debes firmar la solicitud de CSR y subir el certificado firmado al sistema. Para obtener más información, consulta Firma el certificado de la sub-CA externa. Puedes crear un recurso personalizado CertificateIssuer que apunte a esta SubCA y marcarlo como el CertificateIssuer predeterminado.

La subCA recién creada emite todos los certificados web posteriores. No tienes que cambiar tus almacenes de confianza.

Modo de SubCA BYO de PKI

Transición a un modo de PKI diferente

La API de PKI admite la transición del modo predeterminado completamente administrado a otros modos personalizados admitidos. Para obtener más información, consulta cómo hacer la transición a diferentes modos de PKI.