Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
L'appliance con air gap di Google Distributed Cloud (GDC) fornisce un'API dell'infrastruttura a chiave pubblica (PKI)
per ottenere certificati web. Questa pagina fornisce istruzioni per modificare l'emittente di certificati predefinita con un'altra emittente. Per saperne di più sulle modalità dei certificati PKI, consulta Configurazione del certificato TLS web.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per configurare l'emittente di certificati PKI predefinita, chiedi all'amministratore IAM dell'organizzazione di concederti il ruolo Amministratore PKI dell'infrastruttura (infra-pki-admin) nello spazio dei nomi di sistema.
Modificare l'autorità emittente del certificato predefinita
L'etichetta dell'emittente predefinita è simile all'esempio seguente. Per ogni spazio dei nomi,
un CertificateIssuer deve contenere l'etichetta:
pki.security.gdc.goog/is-default-issuer:'true'
Visualizza l'emittente predefinita corrente nello spazio dei nomi pki-system:
Sostituisci NEW_DEFAULT_ISSUER con il nome del nuovo
emittente di certificati predefinito.
Attivare manualmente la riemissione del certificato
Dopo aver cambiato l'emittente di certificati predefinita, l'appliance GDC air-gapped
non riemetterà automaticamente i certificati firmati dall'emittente di certificati
predefinita precedente, a meno che il certificato non stia per scadere. Per riemettere immediatamente
i certificati con il nuovo emittente predefinito, consulta
Riemettere manualmente i certificati web PKI.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Change the default certificate issuer\n\nGoogle Distributed Cloud (GDC) air-gapped appliance provides a [public key infrastructure (PKI) API](/distributed-cloud/hosted/docs/latest/appliance/apis/service/security/pki/v1/security-pki-v1)\nto get web certificates. This page provides instructions to change the\ndefault certificate issuer to another issuer. For more information about PKI\ncertificate modes, see [Web TLS certificate configuration](/distributed-cloud/hosted/docs/latest/appliance/platform/pa-user/pki/web-tls-cert-config).\n\nBefore you begin\n----------------\n\nTo get the permissions you need to configure the PKI default certificate issuer,\nask your Organization IAM Admin to grant you the Infra PKI Admin\n(`infra-pki-admin`) role in the system namespace.\n\nChange default certificate issuer\n---------------------------------\n\n1. The default issuer label looks like the following example. For each namespace,\n one `CertificateIssuer` must contain the label:\n\n pki.security.gdc.goog/is-default-issuer: 'true'\n\n2. View the current default issuer in the `pki-system` namespace:\n\n kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true\n\n The output looks similar to the following: \n\n NAME READY REASON ISDEFAULT\n default-tls-ca-issuer True CAaaSReady true\n\n3. Edit the existing default issuer, and update the default issuer label\n from the issuer:\n\n kubectl label --overwrite certificateissuers \u003cvar translate=\"no\"\u003eCURRENT_DEFAULT_ISSUER\u003c/var\u003e -n pki-system pki.security.gdc.goog/is-default-issuer='false'\n\n Replace \u003cvar translate=\"no\"\u003eCURRENT_DEFAULT_ISSUER\u003c/var\u003e with the name of the\n current default certificate issuer.\n4. To set the new `CertificateIssuer` as the default issuer, update the label:\n\n kubectl label --overwrite certificateissuers \u003cvar translate=\"no\"\u003eNEW_DEFAULT_ISSUER\u003c/var\u003e -n pki-system pki.security.gdc.goog/is-default-issuer=true\n\n Replace \u003cvar translate=\"no\"\u003eNEW_DEFAULT_ISSUER\u003c/var\u003e with the name of the new\n default certificate issuer.\n\nManually trigger certificate reissuance\n---------------------------------------\n\nAfter you switch the default certificate issuer, GDC air-gapped appliance\nwon't automatically reissue certificates signed by the previous default\ncertificate issuer unless the certificate is about to expire. To immediately\nreissue certificates with the new default issuer, see\n[Manually reissue PKI web certificates](/distributed-cloud/hosted/docs/latest/appliance/platform/pa-user/pki/pki-cert-reissue)."]]
