Configuración del certificado TLS web

El dispositivo aislado de Google Distributed Cloud (GDC) proporciona una API de infraestructura de clave pública (PKI) para que obtengas un certificado web. Esta API admite varios modos de usuario:

  • Completamente administrados: Son certificados emitidos por la infraestructura de PKI de GDC y encadenados a una autoridad certificadora (CA) raíz autofirmada y administrada por GDC.
  • Certificado BYO: Proporcionas un grupo de certificados con un certificado comodín predeterminado. GDC usará el certificado que mejor coincida con tu servicio.
  • SubCA externa: Son certificados emitidos por la infraestructura de PKI de GDC y encadenados a tu SubCA. Debes proporcionar la SubCA y permitir que GDC la opere.

Definiciones del modo de PKI de Infra

En esta sección, se proporciona una explicación detallada de cada modo de usuario de la PKI.

Modo completamente administrado (modo predeterminado)

En el modo completamente administrado, la organización del arrendatario depende de la infraestructura de clave pública (PKI) de GDC para emitir certificados. Cuando creas una organización nueva, este modo es el predeterminado que se aplica. Después, puedes cambiar a otro modo de PKI.

Con este modo, debes obtener y distribuir la CA raíz en tu entorno para establecer la confianza.

Modo de PKI completamente administrada

Modo BYO Certificates

El modo de certificado BYO admite la firma de certificados de hoja con AC externas o administradas por el usuario. En este modo, se genera una solicitud de firma de certificado (CSR) para cada solicitud de certificado. Mientras espera la firma, el modo de certificado BYO busca un certificado firmado por el cliente existente entre el grupo que coincida con la solicitud de certificado:

  • Si no encuentra un certificado coincidente, una CA de respaldo administrada por GDC emite un certificado temporal listo para usarse de inmediato.
  • Si encuentra un certificado coincidente, lo usa como certificado temporal para la solicitud actual.

Para firmar la CSR, debes seguir estos pasos:

  1. Descarga la CSR desde el estado del recurso personalizado Certificate.
  2. Sube el certificado firmado y el certificado de la CA externa al mismo recurso personalizado Certificate con una actualización del campo spec.

Para administrar la verificación y reemplazar el certificado temporal, el dispositivo aislado de GDC actualiza el secreto del certificado con el certificado subido y la CA externa. No es necesario que cambies tus almacenes de confianza.

Para obtener más información, consulta Firma el certificado BYO.

Modo de certificados BYO de PKI

Modo de SubCA externa

Con el modo de SubCA externa, se genera una CSR para la SubCA dentro del servidor de la API de administración del dispositivo aislado de GDC. Debes firmar la solicitud de CSR y subir el certificado firmado al sistema. Para obtener más información, consulta Firma el certificado de la sub-CA externa. Puedes crear un recurso personalizado CertificateIssuer que apunte a esta SubCA y marcarlo como el CertificateIssuer predeterminado.

La subCA recién creada emite todos los certificados web posteriores. No tienes que cambiar tus almacenes de confianza.

Modo de SubCA BYO de PKI

Transición a un modo de PKI diferente

La API de PKI admite la transición del modo predeterminado completamente administrado a otros modos personalizados admitidos. Para obtener más información, consulta cómo hacer la transición a diferentes modos de PKI.