Cambiar la entidad emisora de certificados predeterminada

El dispositivo air-gapped de Google Distributed Cloud (GDC) proporciona una API de infraestructura de clave pública (PKI) para obtener certificados web. En esta página se proporcionan instrucciones para cambiar la entidad emisora de certificados predeterminada por otra. Para obtener más información sobre los modos de certificado de PKI, consulta Configuración de certificados TLS web.

Antes de empezar

Para obtener los permisos que necesitas para configurar la entidad emisora de certificados predeterminada de la PKI, pide al administrador de gestión de identidades y accesos de tu organización que te asigne el rol de administrador de PKI de infraestructura (infra-pki-admin) en el espacio de nombres del sistema.

Cambiar el emisor de certificados predeterminado

  1. La etiqueta predeterminada de la entidad emisora es similar al siguiente ejemplo. En cada espacio de nombres, un CertificateIssuer debe contener la etiqueta:

    pki.security.gdc.goog/is-default-issuer: 'true'

  2. Consulta el emisor predeterminado actual en el espacio de nombres pki-system:

    kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true

    El resultado es similar al siguiente:

    NAME                    READY   REASON       ISDEFAULT
default-tls-ca-issuer   True    CAaaSReady   true

  3. Edita el emisor predeterminado y actualiza la etiqueta del emisor predeterminado del emisor:

    kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'

    Sustituye CURRENT_DEFAULT_ISSUER por el nombre de la entidad emisora del certificado predeterminado actual.

  4. Para definir el nuevo CertificateIssuer como emisor predeterminado, actualice la etiqueta:

    kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true

    Sustituye NEW_DEFAULT_ISSUER por el nombre del nuevo emisor de certificados predeterminado.

Activar manualmente la reedición de certificados

Después de cambiar la entidad emisora de certificados predeterminada, el dispositivo aislado de GDC no volverá a emitir automáticamente los certificados firmados por la entidad emisora de certificados predeterminada anterior, a menos que el certificado esté a punto de caducar. Para volver a emitir certificados inmediatamente con la nueva entidad emisora predeterminada, consulta Volver a emitir manualmente certificados web de PKI.