pki.security.gdc.goog/v1
包含 PKI v1 API 群組的 API 結構定義。
ACMEConfig
出現位置: - CertificateAuthoritySpec
| 欄位 | 說明 |
|---|---|
enabled boolean |
是否要透過 ACME 通訊協定部署及存取 CA。 |
ACMEIssuerConfig
出現位置: - CertificateIssuerSpec
| 欄位 | 說明 |
|---|---|
rootCACertificate 整數陣列 |
其中包含 ACME 伺服器核發憑證的根 CA 資料。 |
acme ACMEIssuer |
ACME 會設定這個簽發者,與 RFC 8555 (ACME) 伺服器通訊,以取得已簽署的憑證。ACME 是 acme.cert-manager.io/v1 ACMEIssuer。 |
ACMEStatus
顯示於: - CertificateAuthorityStatus
| 欄位 | 說明 |
|---|---|
uri 字串 |
URI 是帳戶的專屬 ID,也可從 CA 擷取帳戶詳細資料 |
BYOCertIssuerConfig
BYOCertIssuerConfig 會根據 BYO-Cert 模型定義簽發者。
出現位置: - CertificateIssuerSpec
| 欄位 | 說明 |
|---|---|
fallbackCertificateAuthority CAReference |
FallbackCertificateAuthority 是指預設 CAaaS 運作的 CA。API 類型: - 群組:pki.security.gdc.goog - 種類:CertificateAuthority |
BYOCertStatus
顯示位置: - CertificateStatus
| 欄位 | 說明 |
|---|---|
csrStatus CSRStatus |
憑證簽署要求 (CSR) 狀態 |
signedCertStatus SignedCertStatus |
外部簽署憑證狀態 |
BYOCertificate
外部簽署的憑證
出現位置: - CertificateSpec
| 欄位 | 說明 |
|---|---|
certificate 整數陣列 |
客戶上傳的 PEM 編碼 x509 憑證。 |
ca 整數陣列 |
用於簽署憑證的簽署者 CA 憑證,採用 PEM 編碼 x509 格式。 |
CACertificateConfig
CACertificateConfig 定義 CA 憑證的佈建方式。 在任何時間點,系統只會設定其中一個欄位。
出現位置: - CertificateAuthoritySpec
| 欄位 | 說明 |
|---|---|
externalCA ExternalCAConfig |
從外部根 CA 取得憑證。如果設定這個值,系統會在狀態中產生 CSR,並可使用這個欄位上傳已簽署的憑證。 |
selfSignedCA SelfSignedCAConfig |
核發自行簽署的憑證。(根 CA) |
managedSubCA ManagedSubCAConfig |
從 GDC 管理的 CA 核發 SubCA 憑證。(受管理從屬 CA) |
CACertificateProfile
CACertificateProfile 會定義 CA 憑證的設定檔。
出現位置: - CertificateAuthoritySpec
| 欄位 | 說明 |
|---|---|
commonName 字串 |
CA 憑證的通用名稱。 |
organizations 字串陣列 |
要顯示在認證上的機構。 |
countries 字串陣列 |
證書上使用的國家/地區。 |
organizationalUnits 字串陣列 |
憑證上使用的機構單位。 |
localities 字串陣列 |
證書上要使用的城市。 |
provinces 字串陣列 |
要顯示在認證上的州/省。 |
streetAddresses 字串陣列 |
憑證上使用的街道地址。 |
postalCodes 字串陣列 |
用於認證的郵遞區號。 |
duration 時間長度 |
CA 憑證的「duration」(即生命週期)。 |
renewBefore 時間長度 |
RenewBefore 是指 CA 憑證到期前的輪替時間。 |
maxPathLength 整數 |
CA 憑證的路徑長度上限。 |
CAReference
CAReference 代表 CertificateAuthority 參照。其中包含在任何命名空間中擷取 CA 的資訊。
出現位置: - BYOCertIssuerConfig - CAaaSIssuerConfig - CertificateRequestSpec - ManagedSubCAConfig
| 欄位 | 說明 |
|---|---|
name 字串 |
命名空間中的名稱不得重複,用於參照 CA 資源。 |
namespace 字串 |
命名空間定義 CA 名稱不得重複的空間。 |
CAaaSIssuerConfig
CAaaSIssuerConfig 定義的簽發者會向使用 CAaaS 服務建立的 CA 要求憑證。
出現位置: - CertificateIssuerSpec
| 欄位 | 說明 |
|---|---|
certificateAuthorityRef CAReference |
這是指會簽署憑證的 CertificationAuthority。API 類型: - 群組:pki.security.gdc.goog - 種類:CertificateAuthority |
CSRStatus
顯示位置: - BYOCertStatus
| 欄位 | 說明 |
|---|---|
conditions Condition 陣列 |
狀態條件清單,用來指出自備憑證 CSR 的狀態 - WaitingforSigning:表示已產生新的 CSR,等待顧客簽署。- 準備就緒:表示 CSR 已簽署 |
csr 整數陣列 |
儲存供客戶簽署的 CSR。 |
憑證
Certificate 代表代管憑證。
顯示位置: - CertificateList
| 欄位 | 說明 |
|---|---|
apiVersion 字串 |
pki.security.gdc.goog/v1 |
kind 字串 |
Certificate |
metadata ObjectMeta |
如需 metadata 的欄位,請參閱 Kubernetes API 說明文件。 |
spec CertificateSpec |
|
status CertificateStatus |
CertificateAuthority
CertificateAuthority 代表用於核發憑證的個別憑證授權單位。
顯示位置: - CertificateAuthorityList
| 欄位 | 說明 |
|---|---|
apiVersion 字串 |
pki.security.gdc.goog/v1 |
kind 字串 |
CertificateAuthority |
metadata ObjectMeta |
如需 metadata 的欄位,請參閱 Kubernetes API 說明文件。 |
spec CertificateAuthoritySpec |
|
status CertificateAuthorityStatus |
CertificateAuthorityList
CertificateAuthorityList 代表憑證授權單位集合。
| 欄位 | 說明 |
|---|---|
apiVersion 字串 |
pki.security.gdc.goog/v1 |
kind 字串 |
CertificateAuthorityList |
metadata ListMeta |
如需 metadata 的欄位,請參閱 Kubernetes API 說明文件。 |
items CertificateAuthority 陣列 |
CertificateAuthoritySpec
顯示於: - CertificateAuthority
| 欄位 | 說明 |
|---|---|
caProfile CACertificateProfile |
CertificateAuthority 的設定檔。 |
caCertificate CACertificateConfig |
CA 憑證佈建設定。 |
secretConfig SecretConfig |
設定 CA 密鑰 |
certificateProfile CertificateProfile |
定義要核發的憑證設定檔。 |
acme ACMEConfig |
與啟用 ACME 通訊協定相關的設定。 |
CertificateAuthorityStatus
顯示於: - CertificateAuthority
| 欄位 | 說明 |
|---|---|
externalCA ExternalCAStatus |
ExternalCA 會指定由外部根 CA 簽署的 SunCA 狀態選項。 |
errorStatus ErrorStatus |
ErrorStatus 包含目前的錯誤清單,以及這個欄位更新的時間戳記。 |
conditions Condition 陣列 |
狀態條件清單,指出認證機構的狀態。- 待處理:等待顧客簽署 CSR。- 準備就緒:表示憑證授權單位已可供使用。 |
acme ACMEStatus |
ACME 的特定狀態選項。只有在憑證授權單位已啟用 ACME 時,才應設定這個欄位。 |
CertificateConfig
CertificateConfig 代表核發憑證中的主體資訊。
出現位置: - CertificateRequestSpec
| 欄位 | 說明 |
|---|---|
subjectConfig SubjectConfig |
這些值會用於在 X.509 憑證中建立識別名稱和主體別名欄位。 |
privateKeyConfig CertificatePrivateKey |
私密金鑰選項。包括金鑰演算法和大小。 |
CertificateIssuer
CertificateIssuer 代表憑證即服務的核發者。
您可以新增/設定 pki.security.gdc.goog/is-default-issuer: true 標籤,將 CertificateIssuer 標示為預設簽發者。
顯示位置: - CertificateIssuerList
| 欄位 | 說明 |
|---|---|
apiVersion 字串 |
pki.security.gdc.goog/v1 |
kind 字串 |
CertificateIssuer |
metadata ObjectMeta |
如需 metadata 的欄位,請參閱 Kubernetes API 說明文件。 |
spec CertificateIssuerSpec |
|
status CertificateIssuerStatus |
CertificateIssuerList
CertificateIssuerList 代表憑證核發機構的集合。
| 欄位 | 說明 |
|---|---|
apiVersion 字串 |
pki.security.gdc.goog/v1 |
kind 字串 |
CertificateIssuerList |
metadata ListMeta |
如需 metadata 的欄位,請參閱 Kubernetes API 說明文件。 |
items CertificateIssuer 陣列 |
CertificateIssuerSpec
顯示於: - CertificateIssuer
| 欄位 | 說明 |
|---|---|
byoCertConfig BYOCertIssuerConfig |
BYOCertConfig 會在 BYO-Cert 模式中設定這個簽發者。 |
caaasConfig CAaaSIssuerConfig |
CAaaSConfig 會設定這個簽發者,使用 CertificateAuthority API 部署的 CA 簽署憑證。 |
acmeConfig ACMEIssuerConfig |
ACMEConfig 會設定這個簽發者,使用 ACME 伺服器簽署憑證。 |
CertificateIssuerStatus
顯示於: - CertificateIssuer
| 欄位 | 說明 |
|---|---|
ca 整數陣列 |
儲存目前憑證核發者使用的根 CA。 |
conditions Condition 陣列 |
狀態條件清單,指出 CertificateIssuer 的狀態。- Ready:表示 CertificateIssuer 已可使用。 |
CertificateList
CertificateList 代表憑證集合。
| 欄位 | 說明 |
|---|---|
apiVersion 字串 |
pki.security.gdc.goog/v1 |
kind 字串 |
CertificateList |
metadata ListMeta |
如需 metadata 的欄位,請參閱 Kubernetes API 說明文件。 |
items Certificate 陣列 |
CertificatePrivateKey
出現位置: - CertificateConfig
| 欄位 | 說明 |
|---|---|
algorithm PrivateKeyAlgorithm |
演算法是這個憑證對應私密金鑰的私密金鑰演算法。如果提供,允許的值為 RSA、Ed25519 或 ECDSA。如果指定 algorithm 但未提供 size,系統會為 ECDSA 金鑰演算法使用 384 的金鑰大小,並為 RSA 金鑰演算法使用 3072 的金鑰大小。使用 Ed25519 金鑰演算法時,系統會忽略金鑰大小。詳情請參閱 github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go。 |
size 整數 |
大小是指這個憑證對應私密金鑰的金鑰位元大小。如果 algorithm 設為 RSA,有效值為 2048、3072、4096 或 8192,如未指定,則預設為 3072。如果 algorithm 設為 ECDSA,有效值為 256、384 或 521,如未指定,則預設為 384。如果 algorithm 設為 Ed25519,系統會忽略大小。不得輸入其他值。詳情請參閱 github.com/cert-manager/cert-manager/pkg/apis/certmanager/v1/types_certificate.go。 |
CertificateProfile
CertificateProfile 會定義核發憑證設定檔的規格。
出現位置: - CertificateAuthoritySpec
| 欄位 | 說明 |
|---|---|
keyUsage KeyUsageBits 陣列 |
這個設定檔核發憑證時允許的金鑰使用方式。 |
extendedKeyUsage ExtendedKeyUsageBits 陣列 |
這個設定檔核發的憑證可使用的擴充金鑰使用方式。SelfSignedCA 為選用,ManagedSubCA 和 ExternalCA 則為必填。 |
CertificateRequest
CertificateRequest 代表向參照的 CertificateAuthority 要求核發憑證。
建立 CertificateRequest 後,其中的所有欄位皆無法變更。spec
出現位置: - CertificateRequestList
| 欄位 | 說明 |
|---|---|
apiVersion 字串 |
pki.security.gdc.goog/v1 |
kind 字串 |
CertificateRequest |
metadata ObjectMeta |
如需 metadata 的欄位,請參閱 Kubernetes API 說明文件。 |
spec CertificateRequestSpec |
|
status CertificateRequestStatus |
CertificateRequestList
CertificateRequestList 代表憑證要求集合。
| 欄位 | 說明 |
|---|---|
apiVersion 字串 |
pki.security.gdc.goog/v1 |
kind 字串 |
CertificateRequestList |
metadata ListMeta |
如需 metadata 的欄位,請參閱 Kubernetes API 說明文件。 |
items CertificateRequest 陣列 |
CertificateRequestSpec
CertificateRequestSpec 定義憑證核發要求。
顯示於: - CertificateRequest
| 欄位 | 說明 |
|---|---|
csr 整數陣列 |
使用 CA 簽署的憑證簽署要求。 |
certificateConfig CertificateConfig |
用於建立 CSR 的憑證設定。 |
notBefore 時間 |
憑證的效期開始時間。如未設定,系統會使用要求時的目前時間。 |
notAfter 時間 |
憑證的有效期限結束時間。如未設定,系統會預設使用 notBefore 時間起算的 90 天。 |
signedCertificateSecret 字串 |
儲存已簽署憑證的密鑰名稱。 |
certificateAuthorityRef CAReference |
這是指將簽署憑證的 CertificateAuthority。API 類型: - 群組:pki.security.gdc.goog - 種類:CertificateAuthority |
CertificateRequestStatus
顯示於: - CertificateRequest
| 欄位 | 說明 |
|---|---|
conditions Condition 陣列 |
狀態條件清單,指出要核發的憑證狀態。- 待處理:CSR 待簽署。- Ready:表示 certificateRequest 已完成。 |
autoGeneratedPrivateKey SecretReference |
如未提供 CSR,系統會使用自動產生的私密金鑰。選用 |
CertificateSpec
顯示位置: - 憑證
| 欄位 | 說明 |
|---|---|
issuer IssuerReference |
用於核發憑證的 CertificateIssuer 參照。如未設定,您必須設定名為 pki.security.gdc.goog/use-default-issuer: true 的標籤,才能使用預設簽發者簽發憑證。API 類型: - 群組:pki.security.gdc.goog - 種類:CertificateIssuer |
commonName 字串 |
要求的 X509 憑證主體屬性一般名稱。長度不得超過 64 個字元。為確保向後相容性,行為如下:如果為空值,我們會使用目前的行為,將 commonName 設為第一個 DNSName (如果長度為 64 個字元以下)。如果為空字串,則不會設定。如果已設定,請確保這是 SAN 的一部分。 |
dnsNames 字串陣列 |
DNSNames 是要在憑證上設定的完整主機名稱清單。 |
ipAddresses 字串陣列 |
IPAddresses 是要在憑證上設定的 IPAddress subjectAltNames 清單。 |
duration 時間長度 |
憑證的「duration」(即生命週期)。 |
renewBefore 時間長度 |
RenewBefore 代表憑證到期前的輪替時間。 |
secretConfig SecretConfig |
憑證密鑰的設定。 |
byoCertificate BYOCertificate |
包含外部簽署的憑證 |
CertificateStatus
顯示位置: - 憑證
| 欄位 | 說明 |
|---|---|
conditions Condition 陣列 |
狀態條件清單,可指出憑證狀態。- 準備就緒:表示憑證已可使用。 |
issuedBy IssuerReference |
用於核發憑證的 CertificateIssuer 參照。API 類型: - 群組:pki.security.gdc.goog - 種類:CertificateIssuer |
byoCertStatus BYOCertStatus |
BYOCertStatus 會指定自備憑證模式的狀態選項。 |
errorStatus ErrorStatus |
ErrorStatus 包含目前的錯誤清單,以及這個欄位更新的時間戳記。 |
ExtendedKeyUsageBits
基礎型別: string
ExtendedKeyUsageBits 會根據 RFC 5280 4.2.1.12 定義不同的允許擴充金鑰使用方式。
後續 RFC 定義了許多擴充金鑰使用方式,如果需要核發這類憑證 (例如用於個人驗證、程式碼簽署或 IPSec 的憑證),可以做為後續功能實作。
顯示位置: - CertificateProfile
ExternalCAConfig
出現位置: - CACertificateConfig
| 欄位 | 說明 |
|---|---|
signedCertificate SignedCertificateConfig |
儲存由外部根 CA 簽署的簽署憑證。 |
ExternalCAStatus
顯示於: - CertificateAuthorityStatus
| 欄位 | 說明 |
|---|---|
csr 整數陣列 |
等待外部 CA 簽署的憑證簽署要求。 |
IssuerReference
IssuerReference 代表發卡機構參考資料。當中包含在任何命名空間中擷取簽發者的資訊。
出現位置: - CertificateSpec - CertificateStatus
| 欄位 | 說明 |
|---|---|
name 字串 |
名稱在命名空間中不得重複,用於參照簽發者資源。 |
namespace 字串 |
命名空間會定義發行者名稱不得重複的空間。 |
KeyUsageBits
基礎型別: string
KeyUsageBits 會根據 RFC 5280 4.2.1.3 定義不同的允許金鑰用途。請注意,以下許多金鑰用途都用於 TLS 以外的憑證,而設定非 TLS 位元的實作方式可做為後續功能實作。
顯示位置: - CertificateProfile
ManagedSubCAConfig
ManagedSubCAConfig 會定義 SubCA CA 憑證的設定。
出現位置: - CACertificateConfig
| 欄位 | 說明 |
|---|---|
certificateAuthorityRef CAReference |
用來簽署 SubCA 憑證的 CertificateAuthority 參照。API 類型: - 群組:pki.security.gdc.goog - 種類:CertificateAuthority |
PrivateKeyAlgorithm
基礎類型: string
出現位置: - CertificatePrivateKey - PrivateKeyConfig
PrivateKeyConfig
PrivateKeyConfig 會定義憑證私密金鑰的設定
顯示位置: - SecretConfig
| 欄位 | 說明 |
|---|---|
algorithm PrivateKeyAlgorithm |
演算法是這個憑證對應私密金鑰的私密金鑰演算法。如果提供,允許的值為 RSA、Ed25519 或 ECDSA。如果指定 algorithm 但未提供 size,系統會為 ECDSA 金鑰演算法使用 384 的金鑰大小,並為 RSA 金鑰演算法使用 3072 的金鑰大小。使用 Ed25519 金鑰演算法時,系統會忽略金鑰大小。 |
size 整數 |
大小是指這個憑證對應私密金鑰的金鑰位元大小。如果 algorithm 設為 RSA,有效值為 2048、3072、4096 或 8192,如未指定,則預設為 3072。如果 algorithm 設為 ECDSA,有效值為 256、384 或 521,如未指定,則預設為 384。如果 algorithm 設為 Ed25519,系統會忽略大小。不得輸入其他值。 |
SecretConfig
SecretConfig 會定義憑證密鑰的設定。
出現位置: - CertificateAuthoritySpec - CertificateSpec
| 欄位 | 說明 |
|---|---|
secretName 字串 |
用於保存私密金鑰和已簽署憑證的 Secret 名稱。 |
secretTemplate SecretTemplate |
定義要複製到 Secret 的註解和標籤。 |
privateKeyConfig PrivateKeyConfig |
憑證私密金鑰的選項 |
SecretTemplate
SecretTemplate 會定義要複製到 SecretConfig.SecretName 中 Kubernetes Secret 資源的預設標籤和註解。
顯示位置: - SecretConfig
| 欄位 | 說明 |
|---|---|
annotations 物件 (鍵:字串,值:字串) |
註解是鍵值對應,可複製到目標 Kubernetes Secret。 |
labels 物件 (鍵:字串,值:字串) |
標籤是鍵/值對應,會複製到目標 Kubernetes Secret。 |
SelfSignedCAConfig
SelfSignedCAConfig 會定義根 CA 憑證的設定。
出現位置: - CACertificateConfig
SignedCertStatus
顯示位置: - BYOCertStatus
| 欄位 | 說明 |
|---|---|
conditions Condition 陣列 |
狀態條件清單,指出自備憑證的狀態。- 已拒絕:表示憑證與 CSR 不符。- 準備就緒:表示憑證可供使用。 |
SignedCertificateConfig
出現位置: - ExternalCAConfig
| 欄位 | 說明 |
|---|---|
certificate 整數陣列 |
客戶上傳的 PEM 編碼 x509 憑證。 |
ca 整數陣列 |
用於簽署憑證的簽署者 CA 憑證,採用 PEM 編碼 x509 格式。 |
SubjectConfig
出現位置: - CertificateConfig
| 欄位 | 說明 |
|---|---|
commonName 字串 |
憑證的通用名稱。 |
organization 字串 |
認證的機構。 |
locality 字串 |
憑證的所在地。 |
state 字串 |
憑證狀態。 |
country 字串 |
憑證核發國家/地區。 |
dnsNames 字串陣列 |
DNSNames 是要設定在憑證上的 dNSName subjectAltNames 清單。 |
ipAddresses 字串陣列 |
IPAddresses 是要在憑證上設定的 ipAddress subjectAltNames 清單。 |
rfc822Names 字串陣列 |
RFC822Names 是要設定在憑證上的 rfc822Name subjectAltNames 清單。 |
uris 字串陣列 |
URIs 是 uniformResourceIdentifier subjectAltNames 清單,將在憑證上設定。 |