Web TLS 证书配置

Google Distributed Cloud (GDC) 网闸隔离设备提供了一个公钥基础架构 (PKI) API，供您获取 Web 证书。此 API 支持多种用户模式：

• 完全由 Google 管理：由 GDC PKI 基础架构颁发，并链接到 GDC 管理的自签名根证书授权机构 (CA)。
• 自带证书：您提供一个证书池，其中包含默认的通配符证书。GDC 将使用与您的服务最匹配的证书。
• 自带 SubCA：由 GDC PKI 基础设施颁发并链接到您的 SubCA 的证书。您必须提供 SubCA 并让 GDC 运行它。

基础架构 PKI 模式定义

本部分详细介绍了每种 PKI 用户模式。

全代管式模式（默认模式）

在全代管式模式下，租户组织依赖于 GDC 公钥基础架构 (PKI) 来颁发证书。创建新组织时，系统会默认应用此模式。之后，您可以切换到其他 PKI 模式。

在此模式下，您必须获取根 CA 并将其分发到您的环境中以建立信任关系。

“自带证书”模式

自带证书模式支持使用外部 CA 或用户管理的 CA 对叶证书进行签名。此模式会为每个证书请求生成一个证书签名请求 (CSR)。在等待签名期间，自带证书模式会在池中搜索与证书请求匹配的现有客户签名证书：

• 如果找不到匹配的证书，GDC 管理的后备 CA 会颁发一个可立即使用的临时证书。
• 如果找到匹配的证书，则使用该证书作为当前请求的临时证书。

如需签署 CSR，您必须执行以下步骤：

1. 从 Certificate 自定义资源状态下载 CSR。
2. 通过更新 spec 字段，将签名证书和外部 CA 证书上传到同一 Certificate 自定义资源。

为了管理验证并替换临时证书，GDC 气隙设备会使用上传的证书和外部 CA 更新证书 Secret。 您无需更改信任库。

如需了解详情，请参阅为自带证书签名。

BYO SubCA 模式

在自带子 CA 模式下，子 CA 的 CSR 在 GDC 气隙设备管理 API 服务器中生成。您必须签署 CSR 请求，并将已签名的证书上传到系统中。如需了解详情，请参阅为自带子 CA 证书签名。您可以创建一个指向此 SubCA 的 CertificateIssuer 自定义资源，并将其标记为默认 CertificateIssuer。

新创建的子 CA 会颁发所有后续的 Web 证书。您无需更改信任库。

过渡到其他 PKI 模式

PKI API 支持从默认的完全受管理模式过渡到其他受支持的自定义模式。如需了解详情，请参阅过渡到不同的 PKI 模式。