Configuración de certificados TLS web

El dispositivo con air gap de Google Distributed Cloud (GDC) proporciona una API de infraestructura de clave pública (PKI) para que obtengas un certificado web. Esta API admite varios modos de usuario:

  • Totalmente gestionados: certificados emitidos por la infraestructura de PKI de GDC y encadenados a una autoridad de certificación raíz autofirmada gestionada por GDC.
  • Certificado BYO: proporcionas un grupo de certificados con un certificado comodín predeterminado. GDC usará el certificado que mejor se adapte a tu servicio.
  • SubCA propio: certificados emitidos por la infraestructura de PKI de GDC y encadenados a tu SubCA. Debes proporcionar la subautoridad de certificación y permitir que GDC la gestione.

Definiciones del modo Infra PKI

En esta sección se explica detalladamente cada modo de usuario de la infraestructura de clave pública.

Modo Totalmente gestionado (modo predeterminado)

En el modo totalmente gestionado, la organización de arrendatario depende de la infraestructura de clave pública (PKI) de GDC para emitir certificados. Cuando creas una organización, este modo es el que se aplica de forma predeterminada. Después, puedes cambiar a otro modo de PKI.

En este modo, debes obtener y distribuir la CA raíz a tu entorno para que sea de confianza.

Modo de PKI totalmente gestionado

Modo BYO Certificates

El modo de certificado BYO permite firmar certificados de hoja con CAs externas o gestionadas por el usuario. En este modo, se genera una solicitud de firma de certificado (CSR) para cada solicitud de certificado. Mientras espera la firma, el modo de certificado BYO busca un certificado firmado por el cliente en el grupo que coincida con la solicitud de certificado:

  • Si no encuentra un certificado coincidente, una AC de respaldo gestionada por GDC emite un certificado temporal listo para usarse de inmediato.
  • Si encuentra un certificado que coincida, lo utiliza como certificado temporal para la solicitud actual.

Para firmar la CSR, debes seguir estos pasos:

  1. Descarga el CSR del estado de recurso personalizado Certificate.
  2. Sube el certificado firmado y el certificado de la AC externa al mismo recurso personalizado Certificate actualizando el campo spec.

Para gestionar la verificación y sustituir el certificado temporal, el dispositivo aislado de GDC actualiza el secreto del certificado con el certificado subido y la CA externa. No tienes que cambiar tus almacenes de confianza.

Para obtener más información, consulta Firmar el certificado BYO.

Modo de certificados BYO de PKI

Modo de subautoridad de certificación propia

En el modo de SubCA propio, se genera una CSR para la SubCA en el servidor de la API de gestión del dispositivo aislado de GDC. Debes firmar la solicitud CSR y subir el certificado firmado al sistema. Para obtener más información, consulta Firmar el certificado de sub-CA de BYO. Puedes crear un recurso personalizado CertificateIssuer que apunte a esta subautoridad de certificación y marcarlo como CertificateIssuer predeterminado.

La subautoridad de certificación recién creada emite todos los certificados web posteriores. No tienes que cambiar tus almacenes de confianza.

Modo de subautoridad de certificación propia de PKI

Cambiar a otro modo de PKI

La API PKI admite la transición del modo predeterminado totalmente gestionado a otros modos personalizados admitidos. Para obtener más información, consulta el artículo sobre la transición a diferentes modos de infraestructura de clave pública.