pki.security.gdc.goog/v1
PKI v1 API 그룹의 API 스키마 정의를 포함합니다.
ACMEConfig
표시 위치: - CertificateAuthoritySpec
필드 | 설명 |
---|---|
enabled 불리언 |
ACME 프로토콜을 통해 CA를 배포하고 액세스할지 여부입니다. |
ACMEIssuerConfig
표시 위치: - CertificateIssuerSpec
필드 | 설명 |
---|---|
rootCACertificate 정수 배열 |
여기에는 ACME 서버에서 발급한 인증서의 루트 CA 데이터가 포함됩니다. |
acme ACMEIssuer |
ACME는 서명된 인증서를 획득하기 위해 RFC 8555 (ACME) 서버와 통신하도록 이 발급자를 구성합니다. ACME는 acme.cert-manager.io/v1 ACMEIssuer입니다. |
ACMEStatus
표시 위치: - CertificateAuthorityStatus
필드 | 설명 |
---|---|
uri 문자열 |
URI는 고유 계정 식별자이며 CA에서 계정 세부정보를 가져오는 데도 사용할 수 있습니다. |
BYOCertIssuerConfig
BYOCertIssuerConfig는 BYO-Cert 모델을 기반으로 발급자를 정의합니다.
표시 위치: - CertificateIssuerSpec
필드 | 설명 |
---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority는 기본 CAaaS 작동 CA에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateAuthority |
BYOCertStatus
표시 위치: - CertificateStatus
필드 | 설명 |
---|---|
csrStatus CSRStatus |
인증서 서명 요청 (CSR) 상태 |
signedCertStatus SignedCertStatus |
외부 서명 인증서 상태 |
BYOCertificate
외부 서명 인증서
표시 위치: - CertificateSpec
필드 | 설명 |
---|---|
certificate 정수 배열 |
고객이 업로드한 PEM 인코딩 x509 인증서입니다. |
ca 정수 배열 |
인증서에 서명하는 데 사용된 서명자 CA의 PEM 인코딩 x509 인증서입니다. |
CACertificateConfig
CACertificateConfig는 CA 인증서가 프로비저닝되는 방식을 정의합니다. 언제든지 하나만 설정됩니다.
표시 위치: - CertificateAuthoritySpec
필드 | 설명 |
---|---|
externalCA ExternalCAConfig |
외부 루트 CA에서 인증서를 가져옵니다. 설정된 경우 CSR이 상태에 생성되며 이 필드를 사용하여 서명된 인증서를 업로드할 수 있습니다. |
selfSignedCA SelfSignedCAConfig |
자체 서명 인증서를 발급합니다. (루트 CA) |
managedSubCA ManagedSubCAConfig |
GDC 관리 CA에서 SubCA 인증서를 발급합니다. (관리형 하위 CA) |
CACertificateProfile
CACertificateProfile은 CA 인증서의 프로필을 정의합니다.
표시 위치: - CertificateAuthoritySpec
필드 | 설명 |
---|---|
commonName 문자열 |
CA 인증서의 일반 이름입니다. |
organizations 문자열 배열 |
인증서에 사용할 조직입니다. |
countries 문자열 배열 |
인증서에 사용할 국가입니다. |
organizationalUnits 문자열 배열 |
인증서에 사용할 조직 단위입니다. |
localities 문자열 배열 |
인증서에 사용할 도시입니다. |
provinces 문자열 배열 |
인증서에 사용할 주/도입니다. |
streetAddresses 문자열 배열 |
인증서에 사용할 번지 주소입니다. |
postalCodes 문자열 배열 |
인증서에 사용할 우편번호입니다. |
duration 기간 |
요청된 CA 인증서의 '기간' (즉, 수명)입니다. |
renewBefore 기간 |
RenewBefore는 CA 인증서가 만료되기 전의 순환 시간을 의미합니다. |
maxPathLength 정수 |
CA 인증서의 최대 경로 길이입니다. |
CAReference
CAReference는 CertificateAuthority 참조를 나타냅니다. 모든 네임스페이스에서 CA를 가져오는 정보가 있습니다.
표시 위치: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
필드 | 설명 |
---|---|
name 문자열 |
이름은 CA 리소스를 참조하는 네임스페이스 내에서 고유합니다. |
namespace 문자열 |
네임스페이스는 CA 이름이 고유해야 하는 공간을 정의합니다. |
CAaaSIssuerConfig
CAaaSIssuerConfig는 CAaaS 서비스를 사용하여 생성된 CA에서 인증서를 요청하는 발급자를 정의합니다.
표시 위치: - CertificateIssuerSpec
필드 | 설명 |
---|---|
certificateAuthorityRef CAReference |
인증서에 서명할 CertificationAuthority에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateAuthority |
CSRStatus
표시 위치: - BYOCertStatus
필드 | 설명 |
---|---|
conditions Condition 배열 |
BYO 인증서 CSR의 상태를 나타내는 상태 조건 목록입니다. WaitingforSigning: 고객이 서명할 새 CSR이 생성되었음을 나타냅니다. - Ready: CSR에 서명되었음을 나타냅니다. |
csr 정수 배열 |
고객이 서명할 CSR을 저장합니다. |
인증서
인증서는 관리형 인증서를 나타냅니다.
표시 위치: - CertificateList
필드 | 설명 |
---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
Certificate |
metadata ObjectMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority는 인증서를 발급하는 데 사용되는 개별 인증 기관을 나타냅니다.
표시 위치: - CertificateAuthorityList
필드 | 설명 |
---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateAuthority |
metadata ObjectMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList는 인증 기관의 모음을 나타냅니다.
필드 | 설명 |
---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateAuthorityList |
metadata ListMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
items CertificateAuthority 배열 |
CertificateAuthoritySpec
표시 위치: - CertificateAuthority
필드 | 설명 |
---|---|
caProfile CACertificateProfile |
CertificateAuthority의 프로필입니다. |
caCertificate CACertificateConfig |
CA 인증서 프로비저닝 구성입니다. |
secretConfig SecretConfig |
CA 보안 비밀 구성 |
certificateProfile CertificateProfile |
발급될 인증서의 프로필을 정의합니다. |
acme ACMEConfig |
ACME 프로토콜 사용 설정과 관련된 구성입니다. |
CertificateAuthorityStatus
표시 위치: - CertificateAuthority
필드 | 설명 |
---|---|
externalCA ExternalCAStatus |
ExternalCA는 외부 루트 CA에서 서명한 SunCA의 상태 옵션을 지정합니다. |
errorStatus ErrorStatus |
ErrorStatus에는 현재 오류 목록과 이 필드가 업데이트되는 타임스탬프가 포함됩니다. |
conditions Condition 배열 |
인증 기관의 상태를 나타내는 상태 조건 목록입니다. - 대기 중: 고객이 서명할 CSR이 대기 중입니다. - Ready: 인증 기관을 사용할 준비가 되었음을 나타냅니다. |
acme ACMEStatus |
ACME 관련 상태 옵션입니다. 이 필드는 인증 기관이 ACME 사용 설정으로 구성된 경우에만 설정해야 합니다. |
CertificateConfig
CertificateConfig는 발급된 인증서의 주제 정보를 나타냅니다.
표시 위치: - CertificateRequestSpec
필드 | 설명 |
---|---|
subjectConfig SubjectConfig |
이러한 값은 X.509 인증서에서 식별 이름 및 주체 대체 이름 필드를 만드는 데 사용됩니다. |
privateKeyConfig CertificatePrivateKey |
비공개 키 옵션입니다. 여기에는 키 알고리즘과 크기가 포함됩니다. |
CertificateIssuer
CertificateIssuer는 서비스형 인증서의 발급자를 나타냅니다.
pki.security.gdc.goog/is-default-issuer: true
라벨을 추가/설정하여 CertificateIssuer를 기본 발급자로 표시할 수 있습니다.
표시 위치: - CertificateIssuerList
필드 | 설명 |
---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateIssuer |
metadata ObjectMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList는 인증서 발급기관의 모음을 나타냅니다.
필드 | 설명 |
---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateIssuerList |
metadata ListMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
items CertificateIssuer 배열 |
CertificateIssuerSpec
표시 위치: - CertificateIssuer
필드 | 설명 |
---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig는 BYO-Cert 모드에서 이 발급자를 구성합니다. |
caaasConfig CAaaSIssuerConfig |
CAaaSConfig는 CertificateAuthority API로 배포된 CA를 사용하여 인증서에 서명하도록 이 발급자를 구성합니다. |
acmeConfig ACMEIssuerConfig |
ACMEConfig는 ACME 서버를 사용하여 인증서에 서명하도록 이 발급자를 구성합니다. |
CertificateIssuerStatus
표시 위치: - CertificateIssuer
필드 | 설명 |
---|---|
ca 정수 배열 |
현재 인증서 발급자가 사용하는 루트 CA를 저장합니다. |
conditions Condition 배열 |
CertificateIssuer의 상태를 나타내는 상태 조건 목록입니다. - Ready: CertificateIssuer를 사용할 준비가 되었음을 나타냅니다. |
CertificateList
CertificateList는 인증서 모음을 나타냅니다.
필드 | 설명 |
---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateList |
metadata ListMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
items 인증서 배열 |
CertificatePrivateKey
표시 위치: - CertificateConfig
필드 | 설명 |
---|---|
algorithm PrivateKeyAlgorithm |
Algorithm은 이 인증서의 해당 비공개 키의 비공개 키 알고리즘입니다. 제공된 경우 허용되는 값은 RSA , Ed25519 또는 ECDSA 입니다. algorithm 이 지정되고 size 이 제공되지 않으면 ECDSA 키 알고리즘에는 키 크기 384가 사용되고 RSA 키 알고리즘에는 키 크기 3072가 사용됩니다. Ed25519 키 알고리즘을 사용할 때는 키 크기가 무시됩니다. 자세한 내용은 github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go를 참고하세요. |
size 정수 |
크기는 이 인증서의 해당 비공개 키의 키 비트 크기입니다. algorithm 이 RSA 로 설정된 경우 유효한 값은 2048 , 3072 , 4096 또는 8192 이며, 지정되지 않은 경우 기본값은 3072 입니다. algorithm 이 ECDSA 로 설정된 경우 유효한 값은 256 , 384 또는 521 이며, 지정하지 않으면 기본값은 384 입니다. algorithm 이 Ed25519 로 설정되면 크기가 무시됩니다. 다른 값은 허용되지 않습니다. 자세한 내용은 github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go를 참고하세요. |
CertificateProfile
CertificateProfile은 발급된 인증서의 프로필 사양을 정의합니다.
표시 위치: - CertificateAuthoritySpec
필드 | 설명 |
---|---|
keyUsage KeyUsageBits 배열 |
이 프로필에 따라 발급된 인증서에 허용된 키 사용입니다. |
extendedKeyUsage ExtendedKeyUsageBits 배열 |
이 프로필에 따라 발급된 인증서에 허용된 확장 키 사용입니다. SelfSignedCA의 경우 선택사항이며 ManagedSubCA와 ExternalCA의 경우 필수입니다. |
CertificateRequest
CertificateRequest는 참조된 CertificateAuthority에서 인증서를 발급하도록 요청합니다.
CertificateRequest의 spec
내 모든 필드는 생성 후 변경할 수 없습니다.
표시 위치: - CertificateRequestList
필드 | 설명 |
---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateRequest |
metadata ObjectMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList는 인증서 요청 모음을 나타냅니다.
필드 | 설명 |
---|---|
apiVersion 문자열 |
pki.security.gdc.goog/v1 |
kind 문자열 |
CertificateRequestList |
metadata ListMeta |
metadata 필드는 Kubernetes API 문서를 참고하세요. |
items CertificateRequest 배열 |
CertificateRequestSpec
CertificateRequestSpec은 인증서 발급 요청을 정의합니다.
표시 위치: - CertificateRequest
필드 | 설명 |
---|---|
csr 정수 배열 |
CA를 사용하여 서명할 인증서 서명 요청입니다. |
certificateConfig CertificateConfig |
CSR을 만드는 데 사용될 인증서 구성입니다. |
notBefore 시간 |
인증서의 유효성 시작 시간입니다. 설정되지 않은 경우 요청의 현재 시간이 사용됩니다. |
notAfter 시간 |
인증서의 유효 종료 시간입니다. 설정되지 않은 경우 notBefore 시간으로부터 90일이 기본값으로 사용됩니다. |
signedCertificateSecret 문자열 |
서명된 인증서를 저장할 보안 비밀의 이름입니다. |
certificateAuthorityRef CAReference |
인증서에 서명할 CertificateAuthority에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateAuthority |
CertificateRequestStatus
표시 위치: - CertificateRequest
필드 | 설명 |
---|---|
conditions Condition 배열 |
발급될 인증서의 상태를 나타내는 상태 조건 목록입니다. - PENDING: CSR 서명이 대기 중입니다. - Ready: certificateRequest가 충족되었음을 나타냅니다. |
autoGeneratedPrivateKey SecretReference |
CSR이 제공되지 않으면 자동 생성된 비공개 키가 사용됩니다. 선택사항 |
CertificateSpec
표시 위치: - 인증서
필드 | 설명 |
---|---|
issuer IssuerReference |
인증서 발급에 사용될 CertificateIssuer에 대한 참조입니다. 설정하지 않으면 기본 발급자를 사용하여 인증서를 발급하기 위해 pki.security.gdc.goog/use-default-issuer: true 라는 라벨을 설정해야 합니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateIssuer |
commonName 문자열 |
요청된 일반 이름 X509 인증서 주체 속성입니다. 길이가 64자(영문 기준) 이하여야 합니다. 이전 버전과의 호환성을 위해 동작은 다음과 같습니다. nil인 경우 길이가 64자 이하이면 현재 동작을 사용하여 commonName을 첫 번째 DNSName으로 설정합니다. 빈 문자열인 경우 설정하지 않습니다. 설정된 경우 SAN의 일부인지 확인합니다. |
dnsNames 문자열 배열 |
DNSNames는 인증서에 설정할 정규화된 호스트 이름의 목록입니다. |
ipAddresses 문자열 배열 |
IPAddresses는 인증서에 설정할 IPAddress subjectAltNames의 목록입니다. |
duration 기간 |
인증서의 요청된 '기간' (즉, 수명)입니다. |
renewBefore 기간 |
RenewBefore는 인증서가 만료되기 전의 순환 시간을 의미합니다. |
secretConfig SecretConfig |
인증서 보안 비밀의 구성입니다. |
byoCertificate BYOCertificate |
외부에서 서명된 인증서를 포함합니다. |
CertificateStatus
표시 위치: - 인증서
필드 | 설명 |
---|---|
conditions Condition 배열 |
인증서의 상태를 나타내는 상태 조건 목록입니다. - Ready: 인증서를 사용할 수 있음을 나타냅니다. |
issuedBy IssuerReference |
인증서 발급에 사용되는 CertificateIssuer에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus는 byo-certificates 모드의 상태 옵션을 지정합니다. |
errorStatus ErrorStatus |
ErrorStatus에는 현재 오류 목록과 이 필드가 업데이트되는 타임스탬프가 포함됩니다. |
ExtendedKeyUsageBits
기본 유형: string
ExtendedKeyUsageBits는 RFC 5280 4.2.1.12에 따라 허용되는 다양한 확장 키 사용을 정의합니다.
많은 확장 키 사용은 후속 RFC에 의해 정의되었으며 개인 인증, 코드 서명 또는 IPSec에 사용되는 인증서와 같은 경우에 이러한 인증서 발급이 필요한 경우 나중에 기능으로 구현할 수 있습니다.
표시 위치: - CertificateProfile
ExternalCAConfig
표시 위치: - CACertificateConfig
필드 | 설명 |
---|---|
signedCertificate SignedCertificateConfig |
외부 루트 CA에서 서명한 서명된 인증서를 저장합니다. |
ExternalCAStatus
표시 위치: - CertificateAuthorityStatus
필드 | 설명 |
---|---|
csr 정수 배열 |
외부 CA에서 서명하기를 기다리는 인증서 서명 요청입니다. |
IssuerReference
IssuerReference는 발급기관 참조를 나타냅니다. 모든 네임스페이스에서 발급자를 가져오는 정보가 있습니다.
표시 위치: - CertificateSpec - CertificateStatus
필드 | 설명 |
---|---|
name 문자열 |
이름은 네임스페이스 내에서 고유하여 발급자 리소스를 참조합니다. |
namespace 문자열 |
네임스페이스는 발급기관 이름이 고유해야 하는 공간을 정의합니다. |
KeyUsageBits
기본 유형: string
KeyUsageBits는 RFC 5280 4.2.1.3에 따라 허용된 다양한 키 사용을 정의합니다. 아래의 키 용도 중 다수는 TLS 컨텍스트 외부의 인증서에 사용되며 TLS가 아닌 비트 설정 구현은 나중에 기능으로 구현할 수 있습니다.
표시 위치: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig는 SubCA CA 인증서의 구성을 정의합니다.
표시 위치: - CACertificateConfig
필드 | 설명 |
---|---|
certificateAuthorityRef CAReference |
SubCA 인증서에 서명할 CertificateAuthority에 대한 참조입니다. API 유형: - 그룹: pki.security.gdc.goog - 종류: CertificateAuthority |
PrivateKeyAlgorithm
기본 유형: string
표시 위치: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig는 인증서 비공개 키의 구성을 정의합니다.
표시 위치: - SecretConfig
필드 | 설명 |
---|---|
algorithm PrivateKeyAlgorithm |
Algorithm은 이 인증서의 해당 비공개 키의 비공개 키 알고리즘입니다. 제공된 경우 허용되는 값은 RSA , Ed25519 또는 ECDSA 입니다. algorithm 이 지정되고 size 이 제공되지 않으면 ECDSA 키 알고리즘에는 키 크기 384가 사용되고 RSA 키 알고리즘에는 키 크기 3072가 사용됩니다. Ed25519 키 알고리즘을 사용할 때는 키 크기가 무시됩니다. |
size 정수 |
크기는 이 인증서의 해당 비공개 키의 키 비트 크기입니다. algorithm 이 RSA 로 설정된 경우 유효한 값은 2048 , 3072 , 4096 또는 8192 이며, 지정되지 않은 경우 기본값은 3072 입니다. algorithm 이 ECDSA 로 설정된 경우 유효한 값은 256 , 384 또는 521 이며, 지정하지 않으면 기본값은 384 입니다. algorithm 이 Ed25519 로 설정되면 크기가 무시됩니다. 다른 값은 허용되지 않습니다. |
SecretConfig
SecretConfig는 인증서 보안 비밀의 구성을 정의합니다.
표시 위치: - CertificateAuthoritySpec - CertificateSpec
필드 | 설명 |
---|---|
secretName 문자열 |
비공개 키와 서명된 인증서를 보유할 보안 비밀의 이름입니다. |
secretTemplate SecretTemplate |
보안 비밀에 복사할 주석과 라벨을 정의합니다. |
privateKeyConfig PrivateKeyConfig |
인증서 비공개 키 옵션 |
SecretTemplate
SecretTemplate은 SecretConfig.SecretName
에 이름이 지정된 Kubernetes 보안 비밀 리소스에 복사할 기본 라벨과 주석을 정의합니다.
표시 위치: - SecretConfig
필드 | 설명 |
---|---|
annotations 객체 (키:문자열, 값:문자열) |
Annotations는 타겟 Kubernetes 보안 비밀에 복사할 키 값 맵입니다. |
labels 객체 (키:문자열, 값:문자열) |
라벨은 타겟 Kubernetes 보안 비밀에 복사할 키-값 맵입니다. |
SelfSignedCAConfig
SelfSignedCAConfig는 루트 CA 인증서의 구성을 정의합니다.
표시 위치: - CACertificateConfig
SignedCertStatus
표시 위치: - BYOCertStatus
필드 | 설명 |
---|---|
conditions Condition 배열 |
BYO 인증서의 상태를 나타내는 상태 조건 목록입니다. - Rejected: 인증서가 CSR과 일치하지 않음을 나타냅니다. - Ready: 인증서를 사용할 준비가 되었음을 나타냅니다. |
SignedCertificateConfig
표시 위치: - ExternalCAConfig
필드 | 설명 |
---|---|
certificate 정수 배열 |
고객이 업로드한 PEM 인코딩 x509 인증서입니다. |
ca 정수 배열 |
인증서에 서명하는 데 사용된 서명자 CA의 PEM 인코딩 x509 인증서입니다. |
SubjectConfig
표시 위치: - CertificateConfig
필드 | 설명 |
---|---|
commonName 문자열 |
인증서의 일반 이름입니다. |
organization 문자열 |
인증서의 조직입니다. |
locality 문자열 |
인증서의 지역입니다. |
state 문자열 |
인증서의 상태입니다. |
country 문자열 |
인증서의 국가입니다. |
dnsNames 문자열 배열 |
DNSNames는 인증서에 설정할 dNSName subjectAltNames의 목록입니다. |
ipAddresses 문자열 배열 |
IPAddresses는 인증서에 설정할 ipAddress subjectAltNames의 목록입니다. |
rfc822Names 문자열 배열 |
RFC822Names는 인증서에 설정할 rfc822Name subjectAltNames 목록입니다. |
uris 문자열 배열 |
URIs는 인증서에 설정할 uniformResourceIdentifier subjectAltNames 목록입니다. |