pki.security.gdc.goog/v1
PKI v1 API 그룹의 API 스키마 정의를 포함합니다.
ACMEConfig
표시 위치: - CertificateAuthoritySpec
| 필드 | 설명 |
|---|---|
enabled 불리언 |
ACME 프로토콜을 통해 CA를 배포하고 액세스할지 여부입니다. |
ACMEIssuerConfig
표시 위치: - CertificateIssuerSpec
| 필드 | 설명 |
|---|---|
rootCACertificate 정수 배열 |
여기에는 ACME 서버에서 발급한 인증서의 루트 CA 데이터가 포함됩니다. |
acme ACMEIssuer |
ACME는 서명된 인증서를 획득하기 위해 RFC 8555 (ACME) 서버와 통신하도록 이 발급자를 구성합니다. ACME는 acme.cert-manager.io/v1 ACMEIssuer입니다. |
ACMEStatus
표시 위치: - CertificateAuthorityStatus
| 필드 | 설명 |
|---|---|
uri 문자열 |
URI는 고유 계정 식별자이며 CA에서 계정 세부정보를 가져오는 데도 사용할 수 있습니다. |
BYOCertIssuerConfig
BYOCertIssuerConfig는 BYO-Cert 모델을 기반으로 발급자를 정의합니다.
표시 위치: - CertificateIssuerSpec
| 필드 | 설명 |
|---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority는 기본 CAaaS 작동 CA에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateAuthority |
BYOCertStatus
표시 위치: - CertificateStatus
| 필드 | 설명 |
|---|---|
csrStatus CSRStatus |
인증서 서명 요청 (CSR) 상태 |
signedCertStatus SignedCertStatus |
외부 서명 인증서 상태 |
BYOCertificate
외부 서명 인증서
표시 위치: - CertificateSpec
| 필드 | 설명 |
|---|---|
certificate 정수 배열 |
고객이 업로드한 PEM 인코딩 x509 인증서입니다. |
ca 정수 배열 |
인증서에 서명하는 데 사용된 서명자 CA의 PEM 인코딩 x509 인증서입니다. |
CACertificateConfig
CACertificateConfig는 CA 인증서가 프로비저닝되는 방식을 정의합니다. 언제든지 하나만 설정됩니다.
표시 위치: - CertificateAuthoritySpec
| 필드 | 설명 |
|---|---|
externalCA ExternalCAConfig |
외부 루트 CA에서 인증서를 가져옵니다. 설정된 경우 CSR이 상태에 생성되며 이 필드를 사용하여 서명된 인증서를 업로드할 수 있습니다. |
selfSignedCA SelfSignedCAConfig |
자체 서명 인증서를 발급합니다. (루트 CA) |
managedSubCA ManagedSubCAConfig |
GDC 관리 CA에서 SubCA 인증서를 발급합니다. (관리형 하위 CA) |
CACertificateProfile
CACertificateProfile은 CA 인증서의 프로필을 정의합니다.
표시 위치: - CertificateAuthoritySpec
| 필드 | 설명 |
|---|---|
commonName 문자열 |
CA 인증서의 일반 이름입니다. |
organizations 문자열 배열 |
인증서에 사용할 조직입니다. |
countries 문자열 배열 |
인증서에 사용할 국가입니다. |
organizationalUnits 문자열 배열 |
인증서에 사용할 조직 단위입니다. |
localities 문자열 배열 |
인증서에 사용할 도시입니다. |
provinces 문자열 배열 |
인증서에 사용할 주/도입니다. |
streetAddresses 문자열 배열 |
인증서에 사용할 번지 주소입니다. |
postalCodes 문자열 배열 |
인증서에 사용할 우편번호입니다. |
duration 기간 |
요청된 CA 인증서의 '기간' (즉, 수명)입니다. |
renewBefore 기간 |
RenewBefore는 CA 인증서가 만료되기 전의 순환 시간을 의미합니다. |
maxPathLength 정수 |
CA 인증서의 최대 경로 길이입니다. |
CAReference
CAReference는 CertificateAuthority 참조를 나타냅니다. 모든 네임스페이스에서 CA를 가져오는 정보가 있습니다.
표시 위치: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| 필드 | 설명 |
|---|---|
name 문자열 |
이름은 CA 리소스를 참조하는 네임스페이스 내에서 고유합니다. |
namespace 문자열 |
네임스페이스는 CA 이름이 고유해야 하는 공간을 정의합니다. |
CAaaSIssuerConfig
CAaaSIssuerConfig는 CAaaS 서비스를 사용하여 생성된 CA에서 인증서를 요청하는 발급자를 정의합니다.
표시 위치: - CertificateIssuerSpec
| 필드 | 설명 |
|---|---|
certificateAuthorityRef CAReference |
인증서에 서명할 CertificationAuthority에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateAuthority |
CSRStatus
표시 위치: - BYOCertStatus
| 필드 | 설명 |
|---|---|
conditions Condition 배열 |
BYO 인증서 CSR의 상태를 나타내는 상태 조건 목록입니다. WaitingforSigning: 고객이 서명할 새 CSR이 생성되었음을 나타냅니다. - Ready: CSR에 서명되었음을 나타냅니다. |
csr 정수 배열 |
고객이 서명할 CSR을 저장합니다. |
인증서
인증서는 관리형 인증서를 나타냅니다.
표시 위치: - CertificateList
| 필드 | 설명 |
|---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
Certificate |
metadata ObjectMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority는 인증서를 발급하는 데 사용되는 개별 인증 기관을 나타냅니다.
표시 위치: - CertificateAuthorityList
| 필드 | 설명 |
|---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateAuthority |
metadata ObjectMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList는 인증 기관의 모음을 나타냅니다.
| 필드 | 설명 |
|---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateAuthorityList |
metadata ListMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
items CertificateAuthority 배열 |
CertificateAuthoritySpec
표시 위치: - CertificateAuthority
| 필드 | 설명 |
|---|---|
caProfile CACertificateProfile |
CertificateAuthority의 프로필입니다. |
caCertificate CACertificateConfig |
CA 인증서 프로비저닝 구성입니다. |
secretConfig SecretConfig |
CA 보안 비밀 구성 |
certificateProfile CertificateProfile |
발급될 인증서의 프로필을 정의합니다. |
acme ACMEConfig |
ACME 프로토콜 사용 설정과 관련된 구성입니다. |
CertificateAuthorityStatus
표시 위치: - CertificateAuthority
| 필드 | 설명 |
|---|---|
externalCA ExternalCAStatus |
ExternalCA는 외부 루트 CA에서 서명한 SunCA의 상태 옵션을 지정합니다. |
errorStatus ErrorStatus |
ErrorStatus에는 현재 오류 목록과 이 필드가 업데이트되는 타임스탬프가 포함됩니다. |
conditions Condition 배열 |
인증 기관의 상태를 나타내는 상태 조건 목록입니다. - 대기 중: 고객이 서명할 CSR이 대기 중입니다. - Ready: 인증 기관을 사용할 준비가 되었음을 나타냅니다. |
acme ACMEStatus |
ACME 관련 상태 옵션입니다. 이 필드는 인증 기관이 ACME 사용 설정으로 구성된 경우에만 설정해야 합니다. |
CertificateConfig
CertificateConfig는 발급된 인증서의 주제 정보를 나타냅니다.
표시 위치: - CertificateRequestSpec
| 필드 | 설명 |
|---|---|
subjectConfig SubjectConfig |
이러한 값은 X.509 인증서에서 식별 이름 및 주체 대체 이름 필드를 만드는 데 사용됩니다. |
privateKeyConfig CertificatePrivateKey |
비공개 키 옵션입니다. 여기에는 키 알고리즘과 크기가 포함됩니다. |
CertificateIssuer
CertificateIssuer는 서비스형 인증서의 발급자를 나타냅니다.
pki.security.gdc.goog/is-default-issuer: true 라벨을 추가/설정하여 CertificateIssuer를 기본 발급자로 표시할 수 있습니다.
표시 위치: - CertificateIssuerList
| 필드 | 설명 |
|---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateIssuer |
metadata ObjectMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList는 인증서 발급기관의 모음을 나타냅니다.
| 필드 | 설명 |
|---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateIssuerList |
metadata ListMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
items CertificateIssuer 배열 |
CertificateIssuerSpec
표시 위치: - CertificateIssuer
| 필드 | 설명 |
|---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig는 BYO-Cert 모드에서 이 발급자를 구성합니다. |
caaasConfig CAaaSIssuerConfig |
CAaaSConfig는 CertificateAuthority API로 배포된 CA를 사용하여 인증서에 서명하도록 이 발급자를 구성합니다. |
acmeConfig ACMEIssuerConfig |
ACMEConfig는 ACME 서버를 사용하여 인증서에 서명하도록 이 발급자를 구성합니다. |
CertificateIssuerStatus
표시 위치: - CertificateIssuer
| 필드 | 설명 |
|---|---|
ca 정수 배열 |
현재 인증서 발급자가 사용하는 루트 CA를 저장합니다. |
conditions Condition 배열 |
CertificateIssuer의 상태를 나타내는 상태 조건 목록입니다. - Ready: CertificateIssuer를 사용할 준비가 되었음을 나타냅니다. |
CertificateList
CertificateList는 인증서 모음을 나타냅니다.
| 필드 | 설명 |
|---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateList |
metadata ListMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
items 인증서 배열 |
CertificatePrivateKey
표시 위치: - CertificateConfig
| 필드 | 설명 |
|---|---|
algorithm PrivateKeyAlgorithm |
Algorithm은 이 인증서의 해당 비공개 키의 비공개 키 알고리즘입니다. 제공된 경우 허용되는 값은 RSA, Ed25519 또는 ECDSA입니다. algorithm이 지정되고 size이 제공되지 않으면 ECDSA 키 알고리즘에는 키 크기 384가 사용되고 RSA 키 알고리즘에는 키 크기 3072가 사용됩니다. Ed25519 키 알고리즘을 사용할 때는 키 크기가 무시됩니다. 자세한 내용은 github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go를 참고하세요. |
size 정수 |
크기는 이 인증서의 해당 비공개 키의 키 비트 크기입니다. algorithm이 RSA로 설정된 경우 유효한 값은 2048, 3072, 4096 또는 8192이며, 지정되지 않은 경우 기본값은 3072입니다. algorithm이 ECDSA로 설정된 경우 유효한 값은 256, 384 또는 521이며, 지정하지 않으면 기본값은 384입니다. algorithm이 Ed25519로 설정되면 크기가 무시됩니다. 다른 값은 허용되지 않습니다. 자세한 내용은 github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go를 참고하세요. |
CertificateProfile
CertificateProfile은 발급된 인증서의 프로필 사양을 정의합니다.
표시 위치: - CertificateAuthoritySpec
| 필드 | 설명 |
|---|---|
keyUsage KeyUsageBits 배열 |
이 프로필에 따라 발급된 인증서에 허용된 키 사용입니다. |
extendedKeyUsage ExtendedKeyUsageBits 배열 |
이 프로필에 따라 발급된 인증서에 허용된 확장 키 사용입니다. SelfSignedCA의 경우 선택사항이며 ManagedSubCA와 ExternalCA의 경우 필수입니다. |
CertificateRequest
CertificateRequest는 참조된 CertificateAuthority에서 인증서를 발급하도록 요청합니다.
CertificateRequest의 spec 내 모든 필드는 생성 후 변경할 수 없습니다.
표시 위치: - CertificateRequestList
| 필드 | 설명 |
|---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateRequest |
metadata ObjectMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList는 인증서 요청 모음을 나타냅니다.
| 필드 | 설명 |
|---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateRequestList |
metadata ListMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
items CertificateRequest 배열 |
CertificateRequestSpec
CertificateRequestSpec은 인증서 발급 요청을 정의합니다.
표시 위치: - CertificateRequest
| 필드 | 설명 |
|---|---|
csr 정수 배열 |
CA를 사용하여 서명할 인증서 서명 요청입니다. |
certificateConfig CertificateConfig |
CSR을 만드는 데 사용될 인증서 구성입니다. |
notBefore 시간 |
인증서의 유효성 시작 시간입니다. 설정되지 않은 경우 요청의 현재 시간이 사용됩니다. |
notAfter 시간 |
인증서의 유효 종료 시간입니다. 설정되지 않은 경우 notBefore 시간으로부터 90일이 기본값으로 사용됩니다. |
signedCertificateSecret 문자열 |
서명된 인증서를 저장할 보안 비밀의 이름입니다. |
certificateAuthorityRef CAReference |
인증서에 서명할 CertificateAuthority에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateAuthority |
CertificateRequestStatus
표시 위치: - CertificateRequest
| 필드 | 설명 |
|---|---|
conditions Condition 배열 |
발급될 인증서의 상태를 나타내는 상태 조건 목록입니다. - PENDING: CSR 서명이 대기 중입니다. - Ready: certificateRequest가 충족되었음을 나타냅니다. |
autoGeneratedPrivateKey SecretReference |
CSR이 제공되지 않으면 자동 생성된 비공개 키가 사용됩니다. 선택사항 |
CertificateSpec
표시 위치: - 인증서
| 필드 | 설명 |
|---|---|
issuer IssuerReference |
인증서 발급에 사용될 CertificateIssuer에 대한 참조입니다. 설정하지 않으면 기본 발급자를 사용하여 인증서를 발급하기 위해 pki.security.gdc.goog/use-default-issuer: true라는 라벨을 설정해야 합니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateIssuer |
commonName 문자열 |
요청된 일반 이름 X509 인증서 주체 속성입니다. 길이가 64자(영문 기준) 이하여야 합니다. 이전 버전과의 호환성을 위해 동작은 다음과 같습니다. nil인 경우 길이가 64자 이하이면 현재 동작을 사용하여 commonName을 첫 번째 DNSName으로 설정합니다. 빈 문자열인 경우 설정하지 않습니다. 설정된 경우 SAN의 일부인지 확인합니다. |
dnsNames 문자열 배열 |
DNSNames는 인증서에 설정할 정규화된 호스트 이름의 목록입니다. |
ipAddresses 문자열 배열 |
IPAddresses는 인증서에 설정할 IPAddress subjectAltNames의 목록입니다. |
duration 기간 |
인증서의 요청된 '기간' (즉, 수명)입니다. |
renewBefore 기간 |
RenewBefore는 인증서가 만료되기 전의 순환 시간을 의미합니다. |
secretConfig SecretConfig |
인증서 보안 비밀의 구성입니다. |
byoCertificate BYOCertificate |
외부에서 서명된 인증서를 포함합니다. |
CertificateStatus
표시 위치: - 인증서
| 필드 | 설명 |
|---|---|
conditions Condition 배열 |
인증서의 상태를 나타내는 상태 조건 목록입니다. - Ready: 인증서를 사용할 수 있음을 나타냅니다. |
issuedBy IssuerReference |
인증서 발급에 사용되는 CertificateIssuer에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus는 byo-certificates 모드의 상태 옵션을 지정합니다. |
errorStatus ErrorStatus |
ErrorStatus에는 현재 오류 목록과 이 필드가 업데이트되는 타임스탬프가 포함됩니다. |
ExtendedKeyUsageBits
기본 유형: string
ExtendedKeyUsageBits는 RFC 5280 4.2.1.12에 따라 허용되는 다양한 확장 키 사용을 정의합니다.
많은 확장 키 사용은 후속 RFC에 의해 정의되었으며 개인 인증, 코드 서명 또는 IPSec에 사용되는 인증서와 같은 경우에 이러한 인증서 발급이 필요한 경우 나중에 기능으로 구현할 수 있습니다.
표시 위치: - CertificateProfile
ExternalCAConfig
표시 위치: - CACertificateConfig
| 필드 | 설명 |
|---|---|
signedCertificate SignedCertificateConfig |
외부 루트 CA에서 서명한 서명된 인증서를 저장합니다. |
ExternalCAStatus
표시 위치: - CertificateAuthorityStatus
| 필드 | 설명 |
|---|---|
csr 정수 배열 |
외부 CA에서 서명하기를 기다리는 인증서 서명 요청입니다. |
IssuerReference
IssuerReference는 발급기관 참조를 나타냅니다. 모든 네임스페이스에서 발급자를 가져오는 정보가 있습니다.
표시 위치: - CertificateSpec - CertificateStatus
| 필드 | 설명 |
|---|---|
name 문자열 |
이름은 네임스페이스 내에서 고유하여 발급자 리소스를 참조합니다. |
namespace 문자열 |
네임스페이스는 발급기관 이름이 고유해야 하는 공간을 정의합니다. |
KeyUsageBits
기본 유형: string
KeyUsageBits는 RFC 5280 4.2.1.3에 따라 허용된 다양한 키 사용을 정의합니다. 아래의 키 용도 중 다수는 TLS 컨텍스트 외부의 인증서에 사용되며 TLS가 아닌 비트 설정 구현은 나중에 기능으로 구현할 수 있습니다.
표시 위치: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig는 SubCA CA 인증서의 구성을 정의합니다.
표시 위치: - CACertificateConfig
| 필드 | 설명 |
|---|---|
certificateAuthorityRef CAReference |
SubCA 인증서에 서명할 CertificateAuthority에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateAuthority |
PrivateKeyAlgorithm
기본 유형: string
표시 위치: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig는 인증서 비공개 키의 구성을 정의합니다.
표시 위치: - SecretConfig
| 필드 | 설명 |
|---|---|
algorithm PrivateKeyAlgorithm |
Algorithm은 이 인증서의 해당 비공개 키의 비공개 키 알고리즘입니다. 제공된 경우 허용되는 값은 RSA, Ed25519 또는 ECDSA입니다. algorithm이 지정되고 size이 제공되지 않으면 ECDSA 키 알고리즘에는 키 크기 384가 사용되고 RSA 키 알고리즘에는 키 크기 3072가 사용됩니다. Ed25519 키 알고리즘을 사용할 때는 키 크기가 무시됩니다. |
size 정수 |
크기는 이 인증서의 해당 비공개 키의 키 비트 크기입니다. algorithm이 RSA로 설정된 경우 유효한 값은 2048, 3072, 4096 또는 8192이며, 지정되지 않은 경우 기본값은 3072입니다. algorithm이 ECDSA로 설정된 경우 유효한 값은 256, 384 또는 521이며, 지정하지 않으면 기본값은 384입니다. algorithm이 Ed25519로 설정되면 크기가 무시됩니다. 다른 값은 허용되지 않습니다. |
SecretConfig
SecretConfig는 인증서 보안 비밀의 구성을 정의합니다.
표시 위치: - CertificateAuthoritySpec - CertificateSpec
| 필드 | 설명 |
|---|---|
secretName 문자열 |
비공개 키와 서명된 인증서를 보유할 보안 비밀의 이름입니다. |
secretTemplate SecretTemplate |
보안 비밀에 복사할 주석과 라벨을 정의합니다. |
privateKeyConfig PrivateKeyConfig |
인증서 비공개 키 옵션 |
SecretTemplate
SecretTemplate은 SecretConfig.SecretName에 이름이 지정된 Kubernetes 보안 비밀 리소스에 복사할 기본 라벨과 주석을 정의합니다.
표시 위치: - SecretConfig
| 필드 | 설명 |
|---|---|
annotations 객체 (키:문자열, 값:문자열) |
Annotations는 타겟 Kubernetes 보안 비밀에 복사할 키 값 맵입니다. |
labels 객체 (키:문자열, 값:문자열) |
라벨은 타겟 Kubernetes 보안 비밀에 복사할 키-값 맵입니다. |
SelfSignedCAConfig
SelfSignedCAConfig는 루트 CA 인증서의 구성을 정의합니다.
표시 위치: - CACertificateConfig
SignedCertStatus
표시 위치: - BYOCertStatus
| 필드 | 설명 |
|---|---|
conditions Condition 배열 |
BYO 인증서의 상태를 나타내는 상태 조건 목록입니다. - Rejected: 인증서가 CSR과 일치하지 않음을 나타냅니다. - Ready: 인증서를 사용할 준비가 되었음을 나타냅니다. |
SignedCertificateConfig
표시 위치: - ExternalCAConfig
| 필드 | 설명 |
|---|---|
certificate 정수 배열 |
고객이 업로드한 PEM 인코딩 x509 인증서입니다. |
ca 정수 배열 |
인증서에 서명하는 데 사용된 서명자 CA의 PEM 인코딩 x509 인증서입니다. |
SubjectConfig
표시 위치: - CertificateConfig
| 필드 | 설명 |
|---|---|
commonName 문자열 |
인증서의 일반 이름입니다. |
organization 문자열 |
인증서의 조직입니다. |
locality 문자열 |
인증서의 지역입니다. |
state 문자열 |
인증서의 상태입니다. |
country 문자열 |
인증서의 국가입니다. |
dnsNames 문자열 배열 |
DNSNames는 인증서에 설정할 dNSName subjectAltNames의 목록입니다. |
ipAddresses 문자열 배열 |
IPAddresses는 인증서에 설정할 ipAddress subjectAltNames의 목록입니다. |
rfc822Names 문자열 배열 |
RFC822Names는 인증서에 설정할 rfc822Name subjectAltNames 목록입니다. |
uris 문자열 배열 |
URIs는 인증서에 설정할 uniformResourceIdentifier subjectAltNames 목록입니다. |