pki.security.gdc.goog/v1
Contém definições do esquema da API para o grupo de APIs PKI v1.
ACMEConfig
Aparece em: - CertificateAuthoritySpec
| Campo | Descrição |
|---|---|
enabled booleano |
Se deve implementar e aceder à AC através do protocolo ACME. |
ACMEIssuerConfig
Aparece em: - CertificateIssuerSpec
| Campo | Descrição |
|---|---|
rootCACertificate matriz de números inteiros |
Este ficheiro contém os dados da AC de raiz dos certificados emitidos pelo servidor ACME. |
acme ACMEIssuer |
O ACME configura este emissor para comunicar com um servidor RFC 8555 (ACME) para obter certificados assinados. O ACME é um ACMEIssuer acme.cert-manager.io/v1. |
ACMEStatus
Aparece em: - CertificateAuthorityStatus
| Campo | Descrição |
|---|---|
uri string |
O URI é o identificador exclusivo da conta, que também pode ser usado para obter detalhes da conta da CA |
BYOCertIssuerConfig
BYOCertIssuerConfig define um emissor com base no modelo BYO-Cert.
Aparece em: - CertificateIssuerSpec
| Campo | Descrição |
|---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority é a referência a uma CA de CAaaS predefinida. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
BYOCertStatus
Aparece em: - CertificateStatus
| Campo | Descrição |
|---|---|
csrStatus CSRStatus |
Estado do pedido de assinatura de certificado (CSR) |
signedCertStatus SignedCertStatus |
Estado do certificado assinado externamente |
BYOCertificate
Certificado assinado externamente
Aparece em: - CertificateSpec
| Campo | Descrição |
|---|---|
certificate matriz de números inteiros |
O certificado x509 codificado em PEM carregado pelo cliente. |
ca matriz de números inteiros |
O certificado x509 codificado em PEM da CA do signatário usado para assinar o certificado. |
CACertificateConfig
CACertificateConfig define como o certificado da AC vai ser aprovisionado. Apenas um deles é definido em qualquer momento.
Aparece em: - CertificateAuthoritySpec
| Campo | Descrição |
|---|---|
externalCA ExternalCAConfig |
Obtenha o certificado de uma CA de raiz externa. Se a opção estiver definida, é gerado um CSR no estado, e o certificado assinado pode ser carregado através deste campo. |
selfSignedCA SelfSignedCAConfig |
Emitir um certificado autoassinado. (CA de raiz) |
managedSubCA ManagedSubCAConfig |
Emitir um certificado de AC secundária a partir de uma AC gerida pela GDC. (CA subordinado gerido) |
CACertificateProfile
CACertificateProfile define o perfil de um certificado da AC.
Aparece em: - CertificateAuthoritySpec
| Campo | Descrição |
|---|---|
commonName string |
O nome comum do certificado da AC. |
organizations matriz de strings |
Organizações a usar no certificado. |
countries matriz de strings |
Países a usar no certificado. |
organizationalUnits matriz de strings |
Unidades organizacionais a usar no certificado. |
localities matriz de strings |
Cidades a usar no certificado. |
provinces matriz de strings |
Estados/províncias a usar no certificado. |
streetAddresses matriz de strings |
Moradas a usar no certificado. |
postalCodes matriz de strings |
Códigos postais a usar no certificado. |
duration Duração |
A "duração" (ou seja, o tempo de vida) pedida do certificado da AC. |
renewBefore Duração |
RenewBefore implica o tempo de rotação antes da expiração do certificado da CA. |
maxPathLength número inteiro |
O tamanho do caminho máximo do certificado da AC. |
CAReference
CAReference representa uma referência de CertificateAuthority. Tem informações para obter uma CA em qualquer espaço de nomes.
Aparece em: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| Campo | Descrição |
|---|---|
name string |
O nome é exclusivo num espaço de nomes para referenciar um recurso de CA. |
namespace string |
O espaço de nomes define o espaço no qual o nome da AC tem de ser exclusivo. |
CAaaSIssuerConfig
CAaaSIssuerConfig define um emissor que pede certificados a uma AC criada através do serviço CAaaS.
Aparece em: - CertificateIssuerSpec
| Campo | Descrição |
|---|---|
certificateAuthorityRef CAReference |
Uma referência a uma autoridade de certificação que vai assinar o certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CSRStatus
Aparece em: - BYOCertStatus
| Campo | Descrição |
|---|---|
conditions Matriz de condições |
Lista de condições de estado para indicar o estado de um CSR de certificado BYO: WaitingforSigning: indica que foi gerado um novo CSR para ser assinado pelo cliente. – Pronto: indica que o CSR foi assinado |
csr matriz de números inteiros |
Armazena o CSR para o cliente assinar. |
Certificado
Um certificado representa um certificado gerido.
Aparece em: - CertificateList
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
Certificate |
metadata ObjectMeta |
Consulte a documentação da API Kubernetes para os campos de metadata. |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority representa a autoridade de certificação individual que vai ser usada para emitir os certificados.
Aparece em: - CertificateAuthorityList
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateAuthority |
metadata ObjectMeta |
Consulte a documentação da API Kubernetes para os campos de metadata. |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList representa uma coleção de autoridades de certificação.
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateAuthorityList |
metadata ListMeta |
Consulte a documentação da API Kubernetes para os campos de metadata. |
items CertificateAuthority |
CertificateAuthoritySpec
Aparece em: - CertificateAuthority
| Campo | Descrição |
|---|---|
caProfile CACertificateProfile |
O perfil da CertificateAuthority. |
caCertificate CACertificateConfig |
A configuração de aprovisionamento de certificados da AC. |
secretConfig SecretConfig |
Configuração do segredo da AC |
certificateProfile CertificateProfile |
Define o perfil dos certificados que vão ser emitidos. |
acme ACMEConfig |
Configuração relacionada com a ativação do protocolo ACME. |
CertificateAuthorityStatus
Aparece em: - CertificateAuthority
| Campo | Descrição |
|---|---|
externalCA ExternalCAStatus |
ExternalCA especifica opções de estado para SunCA assinado pela CA de raiz externa. |
errorStatus ErrorStatus |
ErrorStatus contém uma lista de erros atuais e a data/hora em que este campo é atualizado. |
conditions Matriz de condições |
Lista de condições de estado para indicar o estado de uma autoridade de certificação. – Pendente: os CSRs estão pendentes de assinatura pelo cliente. - Pronto: indica que a autoridade de certificação está pronta a usar. |
acme ACMEStatus |
Opções de estado específicas da ACME. Este campo só deve ser definido se a autoridade de certificação estiver configurada com o ACME ativado. |
CertificateConfig
CertificateConfig representa as informações do assunto num certificado emitido.
Aparece em: - CertificateRequestSpec
| Campo | Descrição |
|---|---|
subjectConfig SubjectConfig |
Estes valores são usados para criar os campos de nome distinto e nome alternativo do requerente num certificado X.509. |
privateKeyConfig CertificatePrivateKey |
Opções de chave privada. Estes incluem o algoritmo e o tamanho da chave. |
CertificateIssuer
CertificateIssuer representa um emissor para o certificado como serviço.
Pode marcar um CertificateIssuer como emissor predefinido adicionando/definindo a etiqueta pki.security.gdc.goog/is-default-issuer: true.
Aparece em: - CertificateIssuerList
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateIssuer |
metadata ObjectMeta |
Consulte a documentação da API Kubernetes para os campos de metadata. |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList representa uma coleção de emissores de certificados.
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateIssuerList |
metadata ListMeta |
Consulte a documentação da API Kubernetes para os campos de metadata. |
items CertificateIssuer |
CertificateIssuerSpec
Aparece em: - CertificateIssuer
| Campo | Descrição |
|---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig configura este emissor no modo TSDC. |
caaasConfig CAaaSIssuerConfig |
O CAaaSConfig configura este emissor para assinar certificados através da AC implementada pela API CertificateAuthority. |
acmeConfig ACMEIssuerConfig |
ACMEConfig configura este emissor para assinar certificados através do servidor ACME. |
CertificateIssuerStatus
Aparece em: - CertificateIssuer
| Campo | Descrição |
|---|---|
ca matriz de números inteiros |
Armazena a CA de raiz usada pelo emissor do certificado atual. |
conditions Matriz de condições |
Lista de condições de estado para indicar o estado do CertificateIssuer. - Pronto: indica que o CertificateIssuer está pronto a usar. |
CertificateList
CertificateList representa uma coleção de certificados.
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateList |
metadata ListMeta |
Consulte a documentação da API Kubernetes para os campos de metadata. |
items Matriz decertificados |
CertificatePrivateKey
Aparece em: - CertificateConfig
| Campo | Descrição |
|---|---|
algorithm PrivateKeyAlgorithm |
O algoritmo é o algoritmo da chave privada da chave privada correspondente para este certificado. Se forem fornecidos, os valores permitidos são RSA,Ed25519 ou ECDSA. Se algorithm for especificado e size não for fornecido, é usado o tamanho da chave de 384 para o algoritmo de chave ECDSA e o tamanho da chave de 3072 é usado para o algoritmo de chave RSA. O tamanho da chave é ignorado quando se usa o algoritmo de chave Ed25519. Consulte github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go para mais informações. |
size número inteiro |
O tamanho é o tamanho dos bits da chave privada correspondente para este certificado. Se algorithm estiver definido como RSA, os valores válidos são 2048, 3072, 4096 ou 8192, e o valor predefinido é 3072 se não for especificado. Se algorithm estiver definido como ECDSA, os valores válidos são 256, 384 ou 521 e, por predefinição, é usado 384 se não for especificado. Se algorithm estiver definido como Ed25519, o tamanho é ignorado. Não são permitidos outros valores. Consulte github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go para mais informações. |
CertificateProfile
CertificateProfile define a especificação do perfil de um certificado emitido.
Aparece em: - CertificateAuthoritySpec
| Campo | Descrição |
|---|---|
keyUsage KeyUsageBits |
Utilizações de chaves permitidas para certificados emitidos ao abrigo deste perfil. |
extendedKeyUsage ExtendedKeyUsageBits |
Utilizações alargadas da chave permitidas para certificados emitidos ao abrigo deste perfil. Isto é opcional para SelfSignedCA e é obrigatório para ManagedSubCA e ExternalCA. |
CertificateRequest
CertificateRequest representa um pedido de emissão de certificado da CertificateAuthority referenciada.
Todos os campos no spec de CertificateRequest são imutáveis após a criação.
Aparece em: - CertificateRequestList
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateRequest |
metadata ObjectMeta |
Consulte a documentação da API Kubernetes para os campos de metadata. |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList representa uma coleção de pedidos de certificados.
| Campo | Descrição |
|---|---|
apiVersion string |
pki.security.gdc.goog/v1 |
kind string |
CertificateRequestList |
metadata ListMeta |
Consulte a documentação da API Kubernetes para os campos de metadata. |
items CertificateRequest |
CertificateRequestSpec
CertificateRequestSpec define um pedido para a emissão de um certificado.
Aparece em: - CertificateRequest
| Campo | Descrição |
|---|---|
csr matriz de números inteiros |
Pedido de assinatura de certificado para assinatura com a CA. |
certificateConfig CertificateConfig |
Configuração do certificado que vai ser usada para criar o CSR. |
notBefore Hora |
Hora de início da validade do certificado. Se não for definido, usamos a hora atual do pedido. |
notAfter Hora |
Hora de fim da validade do certificado. Se não estiver definida, usamos 90 dias a partir da hora notBefore como predefinição. |
signedCertificateSecret string |
Nome do segredo para armazenar o certificado assinado. |
certificateAuthorityRef CAReference |
Uma referência a uma CertificateAuthority que vai assinar o certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
CertificateRequestStatus
Aparece em: - CertificateRequest
| Campo | Descrição |
|---|---|
conditions Matriz de condições |
Lista de condições de estado para indicar o estado de um certificado a emitir. - PENDING: os CSR estão pendentes de assinatura. – Pronto: indica que o CertificateRequest foi cumprido. |
autoGeneratedPrivateKey SecretReference |
Se não for fornecido nenhum CSR, é usada uma chave privada gerada automaticamente. opcional |
CertificateSpec
Aparece em: - Certificado
| Campo | Descrição |
|---|---|
issuer IssuerReference |
Uma referência ao CertificateIssuer que vai ser usado para a emissão do certificado. Se não for definido, tem de ser definido um marcador com o nome pki.security.gdc.goog/use-default-issuer: true para emitir o certificado através do emissor predefinido. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateIssuer |
commonName string |
Atributo de assunto do certificado X509 de nome comum pedido. Deve ter um comprimento de 64 carateres ou menos. Para compatibilidade retroativa, o comportamento é o seguinte: se for nulo, usamos o comportamento atual para definir commonName como o primeiro DNSName se o comprimento for de 64 carateres ou menos. Se for uma string vazia, não o defina. Se estiver definido, certifique-se de que faz parte dos SANs. |
dnsNames matriz de strings |
DNSNames é uma lista de nomes de anfitriões totalmente qualificados a definir no certificado. |
ipAddresses matriz de strings |
IPAddresses é uma lista de subjectAltNames IPAddress a definir no certificado. |
duration Duração |
A "duração" (ou seja, o tempo de vida) pedida do certificado. |
renewBefore Duração |
RenewBefore implica o tempo de rotação antes da expiração do certificado. |
secretConfig SecretConfig |
Configuração do segredo do certificado. |
byoCertificate BYOCertificate |
Contém o certificado assinado externamente |
CertificateStatus
Aparece em: - Certificado
| Campo | Descrição |
|---|---|
conditions Matriz de condições |
Lista de condições de estado para indicar o estado do certificado. – Pronto: indica que o certificado está pronto a usar. |
issuedBy IssuerReference |
Uma referência ao CertificateIssuer usado para a emissão do certificado. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus especifica as opções de estado para o modo de certificados próprios. |
errorStatus ErrorStatus |
ErrorStatus contém uma lista de erros atuais e a data/hora em que este campo é atualizado. |
ExtendedKeyUsageBits
Tipo subjacente: string
ExtendedKeyUsageBits define as diferentes utilizações alargadas da chave permitidas de acordo com a norma RFC 5280 4.2.1.12.
Muitas utilizações de chaves alargadas foram definidas por RFCs de seguimento e podem ser implementadas como uma funcionalidade posterior
se for necessária a emissão de tais certificados, para casos como certificados usados para autenticação
pessoal, assinatura de código ou IPSec.
Aparece em: - CertificateProfile
ExternalCAConfig
Aparece em: - CACertificateConfig
| Campo | Descrição |
|---|---|
signedCertificate SignedCertificateConfig |
Armazena um certificado assinado por uma CA de raiz externa. |
ExternalCAStatus
Aparece em: - CertificateAuthorityStatus
| Campo | Descrição |
|---|---|
csr matriz de números inteiros |
Um pedido de assinatura de certificado a aguardar assinatura por parte de uma CA externa. |
IssuerReference
IssuerReference representa uma referência do emissor. Tem informações para obter um emissor em qualquer espaço de nomes.
Aparece em: - CertificateSpec - CertificateStatus
| Campo | Descrição |
|---|---|
name string |
O nome é exclusivo num espaço de nomes para referenciar um recurso de emissor. |
namespace string |
O espaço de nomes define o espaço no qual o nome do emissor tem de ser exclusivo. |
KeyUsageBits
Tipo subjacente: string
KeyUsageBits define as diferentes utilizações de chaves permitidas de acordo com o RFC 5280 4.2.1.3. Tenha em atenção que muitas das utilizações de chaves abaixo são usadas para certificados fora do contexto do TLS e a implementação da definição de bits não TLS pode ser implementada como uma funcionalidade posterior.
Aparece em: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig define a configuração de um certificado da AC de uma subAC.
Aparece em: - CACertificateConfig
| Campo | Descrição |
|---|---|
certificateAuthorityRef CAReference |
Uma referência a uma CertificateAuthority que vai assinar o certificado da SubCA. Tipo de API: - Grupo: pki.security.gdc.goog - Tipo: CertificateAuthority |
PrivateKeyAlgorithm
Tipo subjacente: string
Aparece em: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig define a configuração da chave privada do certificado
Aparece em: - SecretConfig
| Campo | Descrição |
|---|---|
algorithm PrivateKeyAlgorithm |
O algoritmo é o algoritmo da chave privada da chave privada correspondente para este certificado. Se forem fornecidos, os valores permitidos são RSA,Ed25519 ou ECDSA. Se algorithm for especificado e size não for fornecido, é usado o tamanho da chave de 384 para o algoritmo de chave ECDSA e o tamanho da chave de 3072 é usado para o algoritmo de chave RSA. O tamanho da chave é ignorado quando se usa o algoritmo de chave Ed25519. |
size número inteiro |
O tamanho é o tamanho dos bits da chave privada correspondente para este certificado. Se algorithm estiver definido como RSA, os valores válidos são 2048, 3072, 4096 ou 8192, e o valor predefinido é 3072 se não for especificado. Se algorithm estiver definido como ECDSA, os valores válidos são 256, 384 ou 521 e, por predefinição, é usado 384 se não for especificado. Se algorithm estiver definido como Ed25519, o tamanho é ignorado. Não são permitidos outros valores. |
SecretConfig
SecretConfig define a configuração do segredo do certificado.
Aparece em: - CertificateAuthoritySpec - CertificateSpec
| Campo | Descrição |
|---|---|
secretName string |
O nome do segredo que vai conter a chave privada e o certificado assinado. |
secretTemplate SecretTemplate |
Define as anotações e as etiquetas a copiar para o segredo. |
privateKeyConfig PrivateKeyConfig |
Opções para a chave privada do certificado |
SecretTemplate
SecretTemplate define as etiquetas e as anotações predefinidas a copiar para o recurso Secret do Kubernetes denominado em SecretConfig.SecretName.
Aparece em: - SecretConfig
| Campo | Descrição |
|---|---|
annotations object (keys:string, values:string) |
Annotations é um mapa de chaves-valores a copiar para o segredo do Kubernetes de destino. |
labels object (keys:string, values:string) |
Labels é um mapa de chaves-valores a copiar para o segredo do Kubernetes de destino. |
SelfSignedCAConfig
SelfSignedCAConfig define a configuração de um certificado de CA de raiz.
Aparece em: - CACertificateConfig
SignedCertStatus
Aparece em: - BYOCertStatus
| Campo | Descrição |
|---|---|
conditions Matriz de condições |
Lista de condições de estado para indicar o estado do certificado BYO. - Rejeitado: indica que o certificado não corresponde ao CSR. - Pronto: indica que o certificado está pronto a ser usado. |
SignedCertificateConfig
Aparece em: - ExternalCAConfig
| Campo | Descrição |
|---|---|
certificate matriz de números inteiros |
O certificado x509 codificado em PEM carregado pelo cliente. |
ca matriz de números inteiros |
O certificado x509 codificado em PEM da CA do signatário usado para assinar o certificado. |
SubjectConfig
Aparece em: - CertificateConfig
| Campo | Descrição |
|---|---|
commonName string |
O nome comum do certificado. |
organization string |
A organização do certificado. |
locality string |
A localidade do certificado. |
state string |
O estado do certificado. |
country string |
O país do certificado. |
dnsNames matriz de strings |
DNSNames é uma lista de subjectAltNames dNSName a definir no certificado. |
ipAddresses matriz de strings |
IPAddresses é uma lista de subjectAltNames ipAddress a definir no certificado. |
rfc822Names matriz de strings |
RFC822Names é uma lista de subjectAltNames rfc822Name a definir no certificado. |
uris matriz de strings |
URIs é uma lista de subjectAltNames uniformResourceIdentifier a definir no certificado. |