Configuração do certificado TLS Web

O dispositivo isolado do Google Distributed Cloud (GDC) fornece uma API de infraestrutura de chave pública (PKI) para obter um certificado Web. Esta API suporta vários modos de utilizador:

  • Totalmente geridos: certificados emitidos pela infraestrutura da PKI do GDC e encadeados a uma autoridade de certificação (AC) raiz autoassinada gerida pelo GDC.
  • BYO cert: fornece um conjunto de certificados com um certificado com carateres universais predefinido. O GDC vai usar o certificado com a melhor correspondência para o seu serviço.
  • BYO SubCA: certificados emitidos pela infraestrutura de PKI do GDC e encadeados à sua SubCA. Tem de fornecer a SubCA e permitir que a GDC a opere.

Definições do modo PKI de infraestrutura

Esta secção oferece uma explicação detalhada de cada modo de utilizador de ICP.

Modo totalmente gerido (modo predefinido)

No modo totalmente gerido, a organização de inquilinos baseia-se na infraestrutura de chave pública (PKI) do GDC para emitir certificados. Quando cria uma nova organização, este modo é o modo predefinido aplicado. Posteriormente, pode mudar para um modo de ICP diferente.

Com este modo, tem de obter e distribuir a AC raiz para o seu ambiente para estabelecer confiança.

Modo totalmente gerido de PKI

Modo de certificados BYO

O modo de certificado BYO suporta a assinatura de certificados de folhas com ACs externas ou geridas pelo utilizador. Este modo gera um pedido de assinatura de certificado (CSR) para cada pedido de certificado. Enquanto aguarda pela assinatura, o modo de certificado BYO procura um certificado assinado pelo cliente existente no conjunto que corresponda ao pedido de certificado:

  • Se não conseguir encontrar um certificado correspondente, uma AC alternativa gerida pela GDC emite um certificado temporário pronto para utilização imediata.
  • Se encontrar um certificado correspondente, usa-o como certificado temporário para o pedido atual.

Para assinar o CSR, tem de seguir estes passos:

  1. Transfira o CSR do Certificate estado do recurso personalizado.
  2. Carregue o certificado assinado e o certificado da AC externa para o mesmo recurso personalizado Certificate com uma atualização ao campo spec.

Para gerir a validação e substituir o certificado temporário, o dispositivo isolado do GDC atualiza o segredo do certificado com o certificado carregado e a AC externa. Não tem de alterar as suas lojas de confiança.

Para mais informações, consulte o artigo Assine o certificado BYO.

Modo de certificados BYO PKI

Modo BYO SubCA

Com o modo BYO SubCA, é gerada uma CSR para a SubCA no servidor da API de gestão do dispositivo isolado do GDC. Tem de assinar o pedido de CSR e carregar o certificado assinado no sistema. Para mais informações, consulte o artigo Assine o certificado da sub-AC da funcionalidade BYO. Pode criar um recurso personalizado CertificateIssuer que aponte para esta SubCA e marcá-lo como o CertificateIssuer predefinido.

A subAC criada recentemente emite todos os certificados Web subsequentes. Não tem de alterar as suas lojas de confiança.

Modo de SubCA TSPD

Faça a transição para um modo de ICP diferente

A API PKI suporta a transição do modo totalmente gerido predefinido para outros modos personalizados suportados. Para mais informações, consulte o artigo Faça a transição para diferentes modos de ICP.