pki.security.gdc.goog/v1
Contiene definiciones de esquemas de API para el grupo de APIs PKI v1.
ACMEConfig
Aparece en: - CertificateAuthoritySpec
| Campo | Descripción |
|---|---|
enabled booleano |
Indica si se debe implementar y acceder a la CA a través del protocolo ACME. |
ACMEIssuerConfig
Aparece en: - CertificateIssuerSpec
| Campo | Descripción |
|---|---|
rootCACertificate array de números enteros |
Contiene los datos de la AC raíz de los certificados emitidos por el servidor ACME. |
acme ACMEIssuer |
ACME configura esta entidad emisora para que se comunique con un servidor RFC 8555 (ACME) y obtenga certificados firmados. ACME es un ACMEIssuer de acme.cert-manager.io/v1. |
ACMEStatus
Aparece en: - CertificateAuthorityStatus
| Campo | Descripción |
|---|---|
uri string |
El URI es el identificador único de la cuenta, que también se puede usar para obtener los detalles de la cuenta de la CA. |
BYOCertIssuerConfig
BYOCertIssuerConfig define una entidad emisora basada en el modelo BYO-Cert.
Aparece en: - CertificateIssuerSpec
| Campo | Descripción |
|---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority es la referencia a una CA de CAaaS predeterminada. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
BYOCertStatus
Aparece en: - CertificateStatus
| Campo | Descripción |
|---|---|
csrStatus CSRStatus |
Estado de la solicitud de firma de certificado (CSR) |
signedCertStatus SignedCertStatus |
Estado del certificado firmado externamente |
BYOCertificate
Certificado firmado externamente
Aparece en: - CertificateSpec
| Campo | Descripción |
|---|---|
certificate array de números enteros |
El certificado x509 codificado en PEM que ha subido el cliente. |
ca array de números enteros |
El certificado x509 codificado en PEM de la CA de la entidad de firma que se ha usado para firmar el certificado. |
CACertificateConfig
CACertificateConfig define cómo se va a aprovisionar el certificado de AC. Solo se definirá uno de ellos en un momento dado.
Aparece en: - CertificateAuthoritySpec
| Campo | Descripción |
|---|---|
externalCA ExternalCAConfig |
Obtener el certificado de una CA raíz externa. Si se define, se generará una CSR en el estado y se podrá subir el certificado firmado mediante este campo. |
selfSignedCA SelfSignedCAConfig |
Emitir un certificado autofirmado. (CA raíz) |
managedSubCA ManagedSubCAConfig |
Emitir un certificado de SubCA desde una CA gestionada por GDC. (AC subordinada gestionada) |
CACertificateProfile
CACertificateProfile define el perfil de un certificado de AC.
Aparece en: - CertificateAuthoritySpec
| Campo | Descripción |
|---|---|
commonName string |
El nombre común del certificado de la AC. |
organizations matriz de cadenas |
Organizaciones que se usarán en el certificado. |
countries matriz de cadenas |
Países que se usarán en el certificado. |
organizationalUnits matriz de cadenas |
Unidades organizativas que se usarán en el certificado. |
localities matriz de cadenas |
Ciudades que se usarán en el certificado. |
provinces matriz de cadenas |
Estados o provincias que se usarán en el certificado. |
streetAddresses matriz de cadenas |
Direcciones postales que se usarán en el certificado. |
postalCodes matriz de cadenas |
Códigos postales que se usarán en el certificado. |
duration Duración |
La "duración" (es decir, el tiempo de validez) solicitada del certificado de la autoridad de certificación. |
renewBefore Duración |
RenewBefore implica el tiempo de rotación antes de que caduque el certificado de la AC. |
maxPathLength entero |
Longitud máxima de la ruta del certificado de la AC. |
CAReference
CAReference representa una referencia de CertificateAuthority. Tiene información para recuperar una AC en cualquier espacio de nombres.
Aparece en: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| Campo | Descripción |
|---|---|
name string |
El nombre es único en un espacio de nombres para hacer referencia a un recurso de CA. |
namespace string |
El espacio de nombres define el espacio en el que el nombre de la autoridad de certificación debe ser único. |
CAaaSIssuerConfig
CAaaSIssuerConfig define una entidad emisora que solicita certificados de una CA creada mediante el servicio CAaaS.
Aparece en: - CertificateIssuerSpec
| Campo | Descripción |
|---|---|
certificateAuthorityRef CAReference |
Referencia a una autoridad de certificación que firmará el certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CSRStatus
Aparece en: - BYOCertStatus
| Campo | Descripción |
|---|---|
conditions Array de condiciones |
Lista de condiciones de estado para indicar el estado de una CSR de certificado BYO: WaitingforSigning indica que se ha generado una nueva CSR para que la firme el cliente. - Ready (Listo): indica que la CSR se ha firmado. |
csr array de números enteros |
Almacena la CSR para que el cliente la firme. |
Certificado
Un certificado representa un certificado gestionado.
Aparece en: - CertificateList
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
Certificate |
metadata ObjectMeta |
Consulta la documentación de la API de Kubernetes para ver los campos de metadata. |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority representa la autoridad de certificación individual que se usará para emitir los certificados.
Aparece en: - CertificateAuthorityList
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateAuthority |
metadata ObjectMeta |
Consulta la documentación de la API de Kubernetes para ver los campos de metadata. |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList representa una colección de autoridades de certificación.
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateAuthorityList |
metadata ListMeta |
Consulta la documentación de la API de Kubernetes para ver los campos de metadata. |
items Matriz CertificateAuthority |
CertificateAuthoritySpec
Aparece en: - CertificateAuthority
| Campo | Descripción |
|---|---|
caProfile CACertificateProfile |
El perfil de la CertificateAuthority. |
caCertificate CACertificateConfig |
Configuración de aprovisionamiento de certificados de AC. |
secretConfig SecretConfig |
Configuración del secreto de la AC |
certificateProfile CertificateProfile |
Define el perfil de los certificados que se emitirán. |
acme ACMEConfig |
Configuración relacionada con la habilitación del protocolo ACME. |
CertificateAuthorityStatus
Aparece en: - CertificateAuthority
| Campo | Descripción |
|---|---|
externalCA ExternalCAStatus |
ExternalCA especifica las opciones de estado de SunCA firmadas por la AC raíz externa. |
errorStatus ErrorStatus |
ErrorStatus contiene una lista de los errores actuales y la marca de tiempo en la que se actualiza este campo. |
conditions Array de condiciones |
Lista de condiciones de estado para indicar el estado de una autoridad de certificación. - Pendiente: las CSR están pendientes de que el cliente las firme. - Listo: indica que la autoridad de certificación está lista para usarse. |
acme ACMEStatus |
Opciones de estado específicas de ACME. Este campo solo se debe definir si la autoridad de certificación está configurada con ACME habilitado. |
CertificateConfig
CertificateConfig representa la información del sujeto en un certificado emitido.
Aparece en: - CertificateRequestSpec
| Campo | Descripción |
|---|---|
subjectConfig SubjectConfig |
Estos valores se usan para crear los campos de nombre distintivo y nombre alternativo del sujeto en un certificado X.509. |
privateKeyConfig CertificatePrivateKey |
Opciones de clave privada. Entre ellos, se incluyen el algoritmo y el tamaño de la clave. |
CertificateIssuer
CertificateIssuer representa a un emisor de Certificate as a Service.
Puedes marcar un CertificateIssuer como emisor predeterminado añadiendo o definiendo la etiqueta pki.security.gdc.goog/is-default-issuer: true.
Aparece en: - CertificateIssuerList
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateIssuer |
metadata ObjectMeta |
Consulta la documentación de la API de Kubernetes para ver los campos de metadata. |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList representa una colección de emisores de certificados.
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateIssuerList |
metadata ListMeta |
Consulta la documentación de la API de Kubernetes para ver los campos de metadata. |
items CertificateIssuer |
CertificateIssuerSpec
Aparece en: - CertificateIssuer
| Campo | Descripción |
|---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig configura este emisor en el modo BYO-Cert. |
caaasConfig CAaaSIssuerConfig |
CAaaSConfig configura esta entidad emisora para firmar certificados mediante la AC implementada por la API CertificateAuthority. |
acmeConfig ACMEIssuerConfig |
ACMEConfig configura esta entidad emisora para firmar certificados mediante el servidor ACME. |
CertificateIssuerStatus
Aparece en: - CertificateIssuer
| Campo | Descripción |
|---|---|
ca array de números enteros |
Almacena la AC raíz utilizada por la entidad emisora del certificado actual. |
conditions Array de condiciones |
Lista de condiciones de estado para indicar el estado de CertificateIssuer. - Ready (Listo): indica que CertificateIssuer está listo para usarse. |
CertificateList
CertificateList representa una colección de certificados.
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateList |
metadata ListMeta |
Consulta la documentación de la API de Kubernetes para ver los campos de metadata. |
items Matriz Certificate |
CertificatePrivateKey
Aparece en: - CertificateConfig
| Campo | Descripción |
|---|---|
algorithm PrivateKeyAlgorithm |
Algorithm es el algoritmo de clave privada de la clave privada correspondiente a este certificado. Si se proporciona, los valores permitidos son RSA,Ed25519 o ECDSA. Si se especifica algorithm y no se proporciona size, se usará un tamaño de clave de 384 para el algoritmo de clave ECDSA y un tamaño de clave de 3072 para el algoritmo de clave RSA. El tamaño de la clave se ignora cuando se usa el algoritmo de clave Ed25519. Consulta github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go para obtener más información. |
size entero |
Tamaño es el tamaño en bits de la clave privada correspondiente a este certificado. Si algorithm se define como RSA, los valores válidos son 2048, 3072, 4096 o 8192. Si no se especifica ningún valor, se usará 3072 de forma predeterminada. Si algorithm se define como ECDSA, los valores válidos son 256, 384 o 521. Si no se especifica ningún valor, se usará 384 de forma predeterminada. Si algorithm tiene el valor Ed25519, se ignora el tamaño. No se permiten otros valores. Consulta github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go para obtener más información. |
CertificateProfile
CertificateProfile define la especificación del perfil de un certificado emitido.
Aparece en: - CertificateAuthoritySpec
| Campo | Descripción |
|---|---|
keyUsage Matriz KeyUsageBits |
Usos de claves permitidos para los certificados emitidos con este perfil. |
extendedKeyUsage ExtendedKeyUsageBits |
Usos mejorados de clave permitidos para los certificados emitidos con este perfil. Este campo es opcional para SelfSignedCA y obligatorio para ManagedSubCA y ExternalCA. |
CertificateRequest
CertificateRequest representa una solicitud para emitir un certificado de la CertificateAuthority referenciada.
Todos los campos del spec de CertificateRequest son inmutables después de la creación.
Aparece en: - CertificateRequestList
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateRequest |
metadata ObjectMeta |
Consulta la documentación de la API de Kubernetes para ver los campos de metadata. |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList representa una colección de solicitudes de certificados.
| Campo | Descripción |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateRequestList |
metadata ListMeta |
Consulta la documentación de la API de Kubernetes para ver los campos de metadata. |
items Matriz CertificateRequest |
CertificateRequestSpec
CertificateRequestSpec define una solicitud para la emisión de un certificado.
Aparece en: - CertificateRequest
| Campo | Descripción |
|---|---|
csr array de números enteros |
Solicitud de firma de certificado para firmar con una autoridad de certificación. |
certificateConfig CertificateConfig |
Configuración del certificado que se usará para crear la CSR. |
notBefore Hora |
Hora de inicio de la validez del certificado. Si no se define, usaremos la hora actual de la solicitud. |
notAfter Hora |
Hora de finalización de la validez del certificado. Si no se define, usaremos 90 días a partir de la hora notBefore como valor predeterminado. |
signedCertificateSecret string |
Nombre del secreto en el que se almacenará el certificado firmado. |
certificateAuthorityRef CAReference |
Referencia a una autoridad de certificación que firmará el certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CertificateRequestStatus
Aparece en: - CertificateRequest
| Campo | Descripción |
|---|---|
conditions Array de condiciones |
Lista de condiciones de estado para indicar el estado de un certificado que se va a emitir. - PENDIENTE: las CSR están pendientes de firmarse. - Ready: indica que se ha completado la solicitud de certificado. |
autoGeneratedPrivateKey SecretReference |
Si no se proporciona ninguna CSR, se usará una clave privada generada automáticamente. Opcional. |
CertificateSpec
Aparece en: - Certificado
| Campo | Descripción |
|---|---|
issuer IssuerReference |
Referencia a CertificateIssuer que se usará para emitir el certificado. Si no se define, se debe definir una etiqueta llamada pki.security.gdc.goog/use-default-issuer: true para emitir el certificado con el emisor predeterminado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateIssuer |
commonName string |
Nombre común solicitado del atributo de asunto del certificado X509. Debe tener una longitud de 64 caracteres como máximo. Para mantener la compatibilidad con versiones anteriores, el comportamiento es el siguiente: si es nil, usamos el comportamiento actual para definir commonName como el primer DNSName si la longitud es de 64 caracteres o menos. Si es una cadena vacía, no se define. Si se define, asegúrate de que forme parte de los SANs. |
dnsNames matriz de cadenas |
DNSNames es una lista de nombres de host completos que se deben definir en el certificado. |
ipAddresses matriz de cadenas |
IPAddresses es una lista de subjectAltNames de IPAddress que se definirá en el certificado. |
duration Duración |
La "duración" (es decir, el tiempo de validez) del certificado solicitado. |
renewBefore Duración |
RenewBefore implica el tiempo de rotación antes de que caduque el certificado. |
secretConfig SecretConfig |
Configuración del secreto del certificado. |
byoCertificate BYOCertificate |
Contiene el certificado firmado externamente. |
CertificateStatus
Aparece en: - Certificado
| Campo | Descripción |
|---|---|
conditions Array de condiciones |
Lista de condiciones de estado para indicar el estado del certificado. - Listo: indica que el certificado está listo para usarse. |
issuedBy IssuerReference |
Referencia a CertificateIssuer que se usa para emitir el certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus especifica las opciones de estado del modo de certificados BYO. |
errorStatus ErrorStatus |
ErrorStatus contiene una lista de los errores actuales y la marca de tiempo en la que se actualiza este campo. |
ExtendedKeyUsageBits
Tipo subyacente: string
ExtendedKeyUsageBits define los diferentes usos mejorados de claves permitidos según RFC 5280 4.2.1.12.
Se han definido muchos usos de claves extendidas en RFCs posteriores, que se pueden implementar como una función más adelante si es necesario emitir este tipo de certificados, como en el caso de los certificados que se usan para la autenticación personal, la firma de código o IPSec.
Aparece en: - CertificateProfile
ExternalCAConfig
Aparece en: - CACertificateConfig
| Campo | Descripción |
|---|---|
signedCertificate SignedCertificateConfig |
Almacena un certificado firmado por una autoridad de certificación raíz externa. |
ExternalCAStatus
Aparece en: - CertificateAuthorityStatus
| Campo | Descripción |
|---|---|
csr array de números enteros |
Una solicitud de firma de certificado que está esperando a que la firme una autoridad de certificación externa. |
IssuerReference
IssuerReference representa una referencia de emisor. Tiene información para recuperar un emisor en cualquier espacio de nombres.
Aparece en: - CertificateSpec - CertificateStatus
| Campo | Descripción |
|---|---|
name string |
El nombre es único en un espacio de nombres para hacer referencia a un recurso de emisor. |
namespace string |
El espacio de nombres define el espacio en el que el nombre del emisor debe ser único. |
KeyUsageBits
Tipo subyacente: string
KeyUsageBits define los diferentes usos de claves permitidos según RFC 5280 4.2.1.3. Ten en cuenta que muchos de los usos de claves que se indican a continuación se utilizan en certificados que no están relacionados con TLS, y que la implementación de la configuración de bits que no son de TLS se puede llevar a cabo más adelante.
Aparece en: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig define la configuración de un certificado de CA de SubCA.
Aparece en: - CACertificateConfig
| Campo | Descripción |
|---|---|
certificateAuthorityRef CAReference |
Referencia a una autoridad de certificación que firmará el certificado de la subautoridad de certificación. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
PrivateKeyAlgorithm
Tipo subyacente: string
Aparece en: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig define la configuración de la clave privada del certificado.
Aparece en: - SecretConfig
| Campo | Descripción |
|---|---|
algorithm PrivateKeyAlgorithm |
Algorithm es el algoritmo de clave privada de la clave privada correspondiente a este certificado. Si se proporciona, los valores permitidos son RSA,Ed25519 o ECDSA. Si se especifica algorithm y no se proporciona size, se usará un tamaño de clave de 384 para el algoritmo de clave ECDSA y un tamaño de clave de 3072 para el algoritmo de clave RSA. El tamaño de la clave se ignora cuando se usa el algoritmo de clave Ed25519. |
size entero |
Tamaño es el tamaño en bits de la clave privada correspondiente a este certificado. Si algorithm se define como RSA, los valores válidos son 2048, 3072, 4096 o 8192. Si no se especifica ningún valor, se usará 3072 de forma predeterminada. Si algorithm se define como ECDSA, los valores válidos son 256, 384 o 521. Si no se especifica ningún valor, se usará 384 de forma predeterminada. Si algorithm tiene el valor Ed25519, se ignora el tamaño. No se permiten otros valores. |
SecretConfig
SecretConfig define la configuración del secreto del certificado.
Aparece en: - CertificateAuthoritySpec - CertificateSpec
| Campo | Descripción |
|---|---|
secretName string |
Nombre del secreto que contendrá la clave privada y el certificado firmado. |
secretTemplate SecretTemplate |
Define las anotaciones y las etiquetas que se van a copiar en el secreto. |
privateKeyConfig PrivateKeyConfig |
Opciones de la clave privada del certificado |
SecretTemplate
SecretTemplate define las etiquetas y anotaciones predeterminadas que se van a copiar en el recurso Secret de Kubernetes denominado en SecretConfig.SecretName.
Aparece en: - SecretConfig
| Campo | Descripción |
|---|---|
annotations objeto (claves:cadena, valores:cadena) |
Annotations es un mapa de pares clave-valor que se va a copiar en el secreto de Kubernetes de destino. |
labels objeto (claves:cadena, valores:cadena) |
Labels es un mapa de clave-valor que se copiará en el secreto de Kubernetes de destino. |
SelfSignedCAConfig
SelfSignedCAConfig define la configuración de un certificado de AC raíz.
Aparece en: - CACertificateConfig
SignedCertStatus
Aparece en: - BYOCertStatus
| Campo | Descripción |
|---|---|
conditions Array de condiciones |
Lista de condiciones de estado para indicar el estado del certificado BYO. - Rechazado: indica que el certificado no coincide con el CSR. - Listo: indica que el certificado está listo para usarse. |
SignedCertificateConfig
Aparece en: - ExternalCAConfig
| Campo | Descripción |
|---|---|
certificate array de números enteros |
El certificado x509 codificado en PEM que ha subido el cliente. |
ca array de números enteros |
El certificado x509 codificado en PEM de la CA de la entidad de firma que se ha usado para firmar el certificado. |
SubjectConfig
Aparece en: - CertificateConfig
| Campo | Descripción |
|---|---|
commonName string |
El nombre común del certificado. |
organization string |
La organización del certificado. |
locality string |
La localidad del certificado. |
state string |
El estado del certificado. |
country string |
El país del certificado. |
dnsNames matriz de cadenas |
DNSNames es una lista de subjectAltNames dNSName que se definirá en el certificado. |
ipAddresses matriz de cadenas |
IPAddresses es una lista de subjectAltNames de ipAddress que se deben definir en el certificado. |
rfc822Names matriz de cadenas |
RFC822Names es una lista de subjectAltNames de rfc822Name que se van a definir en el certificado. |
uris matriz de cadenas |
URIs es una lista de nombres alternativos de asunto de identificador de recursos uniforme que se deben definir en el certificado. |