Halaman ini diterjemahkan oleh Cloud Translation API.

Konfigurasi sertifikat TLS web

Perangkat dengan air gap Google Distributed Cloud (GDC) menyediakan API infrastruktur kunci publik (PKI) agar Anda dapat memperoleh sertifikat web. API ini mendukung beberapa mode pengguna:

Dikelola sepenuhnya: sertifikat yang diterbitkan oleh infrastruktur PKI GDC dan dirantai ke certificate authority (CA) root yang ditandatangani sendiri dan dikelola GDC.
Sertifikat BYO: Anda menyediakan kumpulan sertifikat dengan sertifikat karakter pengganti default. GDC akan menggunakan sertifikat yang paling cocok untuk layanan Anda.
BYO SubCA: sertifikat yang diterbitkan oleh infrastruktur PKI GDC dan dirantai ke SubCA Anda. Anda harus memberikan SubCA dan mengizinkan GDC mengoperasikannya.

Definisi mode Infra PKI

Bagian ini memberikan penjelasan mendetail tentang setiap mode pengguna PKI.

Mode Terkelola Sepenuhnya (mode default)

Dalam mode yang terkelola sepenuhnya, organisasi tenant mengandalkan infrastruktur kunci publik (PKI) GDC untuk menerbitkan sertifikat. Saat Anda membuat organisasi baru, mode ini adalah mode default yang diterapkan. Setelah itu, Anda dapat beralih ke mode PKI lain.

Dengan mode ini, Anda harus mendapatkan dan mendistribusikan CA root ke lingkungan Anda untuk kepercayaan.

Mode PKI Terkelola Sepenuhnya

Mode Bawa Sertifikat Sendiri

Mode sertifikat BYO mendukung penandatanganan sertifikat leaf dengan CA eksternal atau yang dikelola pengguna. Mode ini membuat permintaan penandatanganan sertifikat (CSR) untuk setiap permintaan sertifikat. Saat menunggu penandatanganan, mode sertifikat BYO akan menelusuri sertifikat yang ditandatangani pelanggan yang ada di antara kumpulan yang cocok dengan permintaan sertifikat:

Jika tidak dapat menemukan sertifikat yang cocok, CA penggantian yang dikelola GDC akan menerbitkan sertifikat sementara yang siap digunakan.
Jika menemukan sertifikat yang cocok, sertifikat tersebut akan digunakan sebagai sertifikat sementara untuk permintaan saat ini.

Untuk menandatangani CSR, Anda harus melakukan langkah-langkah berikut:

Download CSR dari status resource kustom Certificate.
Upload sertifikat bertanda tangan dan sertifikat CA eksternal ke resource kustom Certificate yang sama dengan pembaruan pada kolom spec.

Untuk mengelola verifikasi dan mengganti sertifikat sementara, perangkat air-gapped GDC memperbarui rahasia sertifikat dengan sertifikat yang diupload dan CA eksternal. Anda tidak perlu mengubah toko tepercaya Anda.

Untuk mengetahui informasi selengkapnya, lihat Menandatangani sertifikat BYO.

Mode PKI BYO Certificates

Mode BYO SubCA

Dengan mode SubCA BYO, CSR untuk SubCA dibuat dalam server Management API appliance yang terisolasi dari internet GDC. Anda harus menandatangani permintaan CSR, dan mengupload sertifikat yang ditandatangani ke dalam sistem. Untuk mengetahui informasi selengkapnya, lihat Menandatangani sertifikat SubCA BYO. Anda dapat membuat resource kustom CertificateIssuer yang mengarah ke SubCA ini dan menandainya sebagai CertificateIssuer default.

SubCA yang baru dibuat menerbitkan semua sertifikat web berikutnya. Anda tidak perlu mengubah penyimpanan tepercaya Anda.

Mode PKI BYO SubCA

Beralih ke mode PKI lain

PKI API mendukung transisi dari mode terkelola sepenuhnya default ke mode kustom lain yang didukung. Untuk mengetahui informasi selengkapnya, lihat beralih ke mode PKI yang berbeda.

Konfigurasi sertifikat TLS web Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.