設定網站 TLS 憑證

Google Distributed Cloud (GDC) 氣隙隔離裝置提供公開金鑰基礎架構 (PKI) API，方便您取得網路憑證。這個 API 支援多種使用者模式：

• 全代管：由 GDC PKI 基礎架構核發，並鏈結至 GDC 代管的自簽根憑證授權單位 (CA)。
• 自備憑證：您提供憑證集區，並附上預設萬用字元憑證。GDC 會為您的服務使用最相符的憑證。
• 自備 SubCA：由 GDC PKI 基礎架構核發，並鏈結至您的 SubCA。您必須提供 SubCA，並讓 GDC 運作。

基礎架構 PKI 模式定義

本節將詳細說明各個 PKI 使用者模式。

全代管模式 (預設模式)

在全代管模式下，租戶機構會依賴 GDC 公開金鑰基礎架構 (PKI) 發放憑證。建立新機構時，系統會預設套用這個模式。之後，您就可以切換至其他 PKI 模式。

使用這個模式時，您必須取得根憑證授權單位，並將其分配到環境中以建立信任關係。

自備憑證模式

自備憑證模式支援使用外部或使用者管理的 CA 簽署葉子憑證。這個模式會為每個憑證要求產生憑證簽署要求 (CSR)。等待簽署期間，自有憑證模式會在集區中搜尋與憑證要求相符的現有客戶簽署憑證：

• 如果找不到相符的憑證，GDC 管理的備用 CA 會核發臨時憑證，供您立即使用。
• 如果找到相符的憑證，就會將該憑證做為目前要求的臨時憑證。

如要簽署 CSR，請按照下列步驟操作：

1. 從Certificate自訂資源狀態下載 CSR。
2. 將簽署的憑證和外部 CA 憑證上傳至同一個Certificate自訂資源，並更新 spec 欄位。

如要管理驗證作業及替換臨時憑證，GDC 無網路連線裝置會使用上傳的憑證和外部 CA 更新憑證密鑰。您不必變更信任儲存區。

詳情請參閱「簽署自備憑證」。

自備 SubCA 模式

在 BYO SubCA 模式下，SubCA 的 CSR 會在 GDC 氣隙裝置管理 API 伺服器中產生。您必須簽署 CSR 要求，並將簽署的憑證上傳至系統。詳情請參閱「簽署自備 SubCA 憑證」。您可以建立指向這個 SubCA 的自訂 CertificateIssuer 資源，並將其標示為預設 CertificateIssuer。

新建立的子 CA 會核發後續所有網路憑證。您不必變更信任儲存區。

改用其他 PKI 模式

PKI API 支援從預設的完全管理模式，轉換為其他支援的自訂模式。詳情請參閱轉換至不同 PKI 模式。