Esta página foi traduzida pela API Cloud Translation.

Configuração de certificado TLS da Web

O appliance isolado do Google Distributed Cloud (GDC) oferece uma API de infraestrutura de chave pública (PKI) para você receber um certificado da Web. Essa API é compatível com vários modos de usuário:

Totalmente gerenciados: certificados emitidos pela infraestrutura de ICP do GDC e encadeados a uma autoridade de certificação (CA) raiz autoassinada gerenciada pelo GDC.
Certificado BYO: você fornece um pool de certificados com um certificado curinga padrão. O GDC vai usar o certificado mais adequado para seu serviço.
BYO SubCA: certificados emitidos pela infraestrutura de PKI do GDC e encadeados à sua SubCA. Você precisa fornecer a subautoridade certificadora e permitir que o GDC a opere.

Definições do modo PKI de infraestrutura

Esta seção fornece uma explicação detalhada de cada modo de usuário da PKI.

Modo totalmente gerenciado (padrão)

No modo totalmente gerenciado, a organização locatária depende da infraestrutura de chave pública (PKI) do GDC para emitir certificados. Quando você cria uma nova organização, esse é o modo padrão aplicado. Depois, você pode mudar para outro modo de PKI.

Nesse modo, você precisa obter e distribuir a CA raiz para seu ambiente de confiança.

Modo totalmente gerenciado da ICP

Modo BYO Certificates

O modo de certificado BYO permite assinar certificados folha com CAs externas ou gerenciadas pelo usuário. Esse modo gera uma solicitação de assinatura de certificado (CSR) para cada solicitação de certificado. Enquanto aguarda a assinatura, o modo BYO cert procura um certificado assinado pelo cliente no pool que corresponda à solicitação de certificado:

Se não for possível encontrar um certificado correspondente, uma CA de substituição gerenciada pelo GDC vai emitir um certificado temporário pronto para uso imediato.
Se ele encontrar um certificado correspondente, vai usá-lo como certificado temporário para a solicitação atual.

Para assinar a CSR, siga estas etapas:

Faça o download da CSR no status do recurso personalizado Certificate.
Faça upload do certificado assinado e do certificado de CA externa para o mesmo recurso personalizado Certificate com uma atualização no campo spec.

Para gerenciar a verificação e substituir o certificado temporário, o dispositivo isolado do GDC atualiza o segredo do certificado com o certificado enviado e a CA externa. Não é necessário mudar os repositórios de confiança.

Para mais informações, consulte Assinar o certificado BYO.

Modo de certificados BYO da ICP

Modo BYO SubCA

No modo BYO SubCA, uma CSR para a SubCA é gerada no servidor da API Management do appliance isolado do GDC. Você precisa assinar a solicitação de CSR e fazer upload do certificado assinado no sistema. Para mais informações, consulte Assinar o certificado da subautoridade de certificação BYO. É possível criar um recurso personalizado CertificateIssuer que aponta para essa subautoridade certificadora e marcá-la como a CertificateIssuer padrão.

A subCA recém-criada emite todos os certificados da Web subsequentes. Não é necessário mudar seus repositórios de confiança.

Modo BYO SubCA da PKI

Fazer a transição para outro modo de PKI

A API PKI oferece suporte à transição do modo padrão totalmente gerenciado para outros modos personalizados compatíveis. Para mais informações, consulte transição para diferentes modos de PKI.

Configuração de certificado TLS da Web Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.