ウェブ TLS 証明書の構成

Google Distributed Cloud（GDC）エアギャップ アプライアンスは、ウェブ証明書を取得するための公開鍵基盤（PKI）API を提供します。この API は、次の複数のユーザーモードをサポートしています。

• フルマネージド: GDC PKI インフラストラクチャによって発行され、GDC マネージドの自己署名ルート認証局（CA）にチェーンされている証明書。
• BYO 証明書: デフォルトのワイルドカード証明書を含む証明書のプールを指定します。GDC は、サービスに最適な証明書を使用します。
• BYO SubCA: GDC PKI インフラストラクチャによって発行され、SubCA にチェーンされた証明書。SubCA を提供し、GDC に運用を委託する必要があります。

インフラ PKI モードの定義

このセクションでは、各 PKI ユーザーモードについて詳しく説明します。

フルマネージド モード（デフォルト モード）

フルマネージド モードでは、テナント組織は GDC 公開鍵基盤（PKI）に依存して証明書を発行します。新しい組織を作成すると、このモードがデフォルトで適用されます。その後、別の PKI モードに切り替えることができます。

このモードでは、信頼のためにルート CA を取得して環境に配布する必要があります。

BYO 証明書モード

BYO 証明書モードでは、外部 CA またはユーザー管理の CA を使用したリーフ証明書の署名がサポートされています。このモードでは、証明書リクエストごとに証明書署名リクエスト（CSR）が生成されます。署名を待機している間、BYO 証明書モードは、証明書リクエストと一致する既存の顧客署名証明書をプールから検索します。

• 一致する証明書が見つからない場合、GDC マネージド フォールバック CA は、すぐに使用できる一時証明書を発行します。
• 一致する証明書が見つかった場合、一致する証明書を現在のリクエストの一時証明書として使用します。

CSR に署名するには、次の手順を行います。

1. Certificate カスタム リソースのステータスから CSR をダウンロードします。
2. 署名付き証明書と外部 CA 証明書を同じ Certificate カスタム リソースにアップロードし、spec フィールドを更新します。

検証を管理して一時証明書を置き換えるため、GDC エアギャップ アプライアンスは、アップロードされた証明書と外部 CA を使用して証明書シークレットを更新します。トラストストアを変更する必要はありません。

詳細については、BYO 証明書に署名するをご覧ください。

BYO SubCA モード

BYO SubCA モードでは、SubCA の CSR は GDC エアギャップ アプライアンスの Management API サーバー内で生成されます。CSR リクエストに署名し、署名付き証明書をシステムにアップロードする必要があります。詳細については、BYO SubCA 証明書に署名するをご覧ください。この SubCA を指す CertificateIssuer カスタム リソースを作成し、デフォルトの CertificateIssuer としてマークできます。

新しく作成された subCA は、後続のすべてのウェブ証明書を発行します。トラストストアを変更する必要はありません。

別の PKI モードに移行する

PKI API は、デフォルトのフルマネージド モードから、サポートされている他のカスタムモードへの移行をサポートしています。詳細については、さまざまな PKI モードへの移行をご覧ください。