Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
L'appliance Google Distributed Cloud (GDC) sous air gap fournit une API d'infrastructure à clé publique (PKI) pour obtenir des certificats Web. Cette page explique comment remplacer l'émetteur de certificat par défaut par un autre émetteur. Pour en savoir plus sur les modes de certificat PKI, consultez Configuration des certificats TLS Web.
Avant de commencer
Pour obtenir les autorisations nécessaires pour configurer l'émetteur de certificats PKI par défaut, demandez à votre administrateur IAM de l'organisation de vous attribuer le rôle Administrateur PKI de l'infrastructure (infra-pki-admin) dans l'espace de noms système.
Modifier l'émetteur de certificat par défaut
Le libellé d'émetteur par défaut ressemble à l'exemple suivant. Pour chaque espace de noms, un CertificateIssuer doit contenir le libellé suivant :
pki.security.gdc.goog/is-default-issuer:'true'
Affichez l'émetteur par défaut actuel dans l'espace de noms pki-system :
Remplacez NEW_DEFAULT_ISSUER par le nom du nouvel émetteur de certificats par défaut.
Déclencher manuellement la réémission d'un certificat
Après avoir changé d'émetteur de certificats par défaut, l'appliance GDC air-gapped ne réémettra pas automatiquement les certificats signés par l'émetteur de certificats par défaut précédent, sauf si le certificat est sur le point d'expirer. Pour réémettre immédiatement des certificats avec le nouvel émetteur par défaut, consultez Réémettre manuellement des certificats Web PKI.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Change the default certificate issuer\n\nGoogle Distributed Cloud (GDC) air-gapped appliance provides a [public key infrastructure (PKI) API](/distributed-cloud/hosted/docs/latest/appliance/apis/service/security/pki/v1/security-pki-v1)\nto get web certificates. This page provides instructions to change the\ndefault certificate issuer to another issuer. For more information about PKI\ncertificate modes, see [Web TLS certificate configuration](/distributed-cloud/hosted/docs/latest/appliance/platform/pa-user/pki/web-tls-cert-config).\n\nBefore you begin\n----------------\n\nTo get the permissions you need to configure the PKI default certificate issuer,\nask your Organization IAM Admin to grant you the Infra PKI Admin\n(`infra-pki-admin`) role in the system namespace.\n\nChange default certificate issuer\n---------------------------------\n\n1. The default issuer label looks like the following example. For each namespace,\n one `CertificateIssuer` must contain the label:\n\n pki.security.gdc.goog/is-default-issuer: 'true'\n\n2. View the current default issuer in the `pki-system` namespace:\n\n kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true\n\n The output looks similar to the following: \n\n NAME READY REASON ISDEFAULT\n default-tls-ca-issuer True CAaaSReady true\n\n3. Edit the existing default issuer, and update the default issuer label\n from the issuer:\n\n kubectl label --overwrite certificateissuers \u003cvar translate=\"no\"\u003eCURRENT_DEFAULT_ISSUER\u003c/var\u003e -n pki-system pki.security.gdc.goog/is-default-issuer='false'\n\n Replace \u003cvar translate=\"no\"\u003eCURRENT_DEFAULT_ISSUER\u003c/var\u003e with the name of the\n current default certificate issuer.\n4. To set the new `CertificateIssuer` as the default issuer, update the label:\n\n kubectl label --overwrite certificateissuers \u003cvar translate=\"no\"\u003eNEW_DEFAULT_ISSUER\u003c/var\u003e -n pki-system pki.security.gdc.goog/is-default-issuer=true\n\n Replace \u003cvar translate=\"no\"\u003eNEW_DEFAULT_ISSUER\u003c/var\u003e with the name of the new\n default certificate issuer.\n\nManually trigger certificate reissuance\n---------------------------------------\n\nAfter you switch the default certificate issuer, GDC air-gapped appliance\nwon't automatically reissue certificates signed by the previous default\ncertificate issuer unless the certificate is about to expire. To immediately\nreissue certificates with the new default issuer, see\n[Manually reissue PKI web certificates](/distributed-cloud/hosted/docs/latest/appliance/platform/pa-user/pki/pki-cert-reissue)."]]
