기본 인증서 발급기관 변경

Google Distributed Cloud (GDC) 에어 갭 어플라이언스는 웹 인증서를 가져오는 공개 키 인프라 (PKI) API를 제공합니다. 이 페이지에서는 기본 인증서 발급자를 다른 발급자로 변경하는 방법을 설명합니다. PKI 인증서 모드에 대한 자세한 내용은 웹 TLS 인증서 구성을 참고하세요.

시작하기 전에

PKI 기본 인증서 발급자를 구성하는 데 필요한 권한을 얻으려면 조직 IAM 관리자에게 시스템 네임스페이스의 인프라 PKI 관리자(infra-pki-admin) 역할을 부여해 달라고 요청하세요.

기본 인증서 발급기관 변경

1. 기본 발급자 라벨은 다음 예시와 같습니다. 각 네임스페이스에 대해 하나의 CertificateIssuer에 다음 라벨이 포함되어야 합니다.

   pki.security.gdc.goog/is-default-issuer: 'true'
   

2. pki-system 네임스페이스에서 현재 기본 발급자를 확인합니다.

   kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true
   

   결과는 다음과 유사합니다.

   NAME                    READY   REASON       ISDEFAULT
   default-tls-ca-issuer   True    CAaaSReady   true
   

3. 기존 기본 발급기관을 수정하고 발급기관에서 기본 발급기관 라벨을 업데이트합니다.

   kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'
   

   CURRENT_DEFAULT_ISSUER을 현재 기본 인증서 발급자의 이름으로 바꿉니다.

4. 새 CertificateIssuer를 기본 발급자로 설정하려면 라벨을 업데이트하세요.

   kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true
   

   NEW_DEFAULT_ISSUER을 새 기본 인증서 발급자 이름으로 바꿉니다.

인증서 재발급 수동 트리거

기본 인증서 발급자를 전환한 후 인증서가 만료되지 않는 한 GDC 오프라인 어플라이언스는 이전 기본 인증서 발급자가 서명한 인증서를 자동으로 재발급하지 않습니다. 새 기본 발급자로 인증서를 즉시 재발급하려면 PKI 웹 인증서 수동 재발급을 참고하세요.