Auf dieser Seite wird beschrieben, wie Sie eine Stammzertifizierungsstelle (Certificate Authority, CA) in Google Distributed Cloud (GDC) Air-Gap erstellen.
Eine Stammzertifizierungsstelle, die sich an der Spitze der Hierarchie der Public-Key-Infrastruktur (PKI) befindet, bildet den Vertrauensanker für die PKI. Damit Zertifikate in einer PKI verwendet werden können, müssen Geräte, Software und Komponenten der Stammzertifizierungsstelle vertrauen. Diese Konfiguration sorgt dafür, dass allen von der Stammzertifizierungsstelle ausgestellten Zertifikaten vertraut wird, wodurch auch der PKI selbst vertraut wird.
Hinweise
Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Certificate Authority Service Admin“ (certificate-authority-service-admin
) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen einer Stammzertifizierungsstelle benötigen. Weitere Informationen zu Rollen finden Sie unter Rollendefinitionen.
kubeconfig-Datei abrufen
Damit Sie Befehle für den Management API-Server ausführen können, benötigen Sie die folgenden Ressourcen:
Melden Sie sich an und generieren Sie die kubeconfig-Datei für den Management API-Server, falls Sie noch keine haben.
Verwenden Sie den Pfad zur kubeconfig-Datei des Management API-Servers, um
MANAGEMENT_API_SERVER_KUBECONFIG
in dieser Anleitung zu ersetzen.
Root-Zertifizierungsstelle erstellen
Wenn Sie eine Stammzertifizierungsstelle erstellen möchten, wenden Sie eine benutzerdefinierte Ressource auf Ihre Airgap-Instanz von Distributed Cloud an.
Erstellen Sie eine
CertificateAuthority
-Ressource und speichern Sie sie als YAML-Datei mit dem Namenroot-ca.yaml
:apiVersion: pki.security.gdc.goog/v1 kind: CertificateAuthority metadata: name: ROOT_CA_NAME namespace: USER_PROJECT_NAMESPACE spec: caProfile: commonName: COMMON_NAME duration: DURATION renewBefore: RENEW_BEFORE organizations: - ORGANIZATION organizationalUnits: - ORGANIZATIONAL_UNITS countries: - COUNTRIES localities: - LOCALTIES provinces: - PROVINCES streetAddresses: - STREET_ADDRESSES postalCodes: - POSTAL_CODES caCertificate: selfSignedCA: {} certificateProfile: keyUsage: - digitalSignature - keyCertSign - crlSign extendedKeyUsage: - EXTENDED_KEY_USAGE secretConfig: secretName: SECRET_NAME privateKeyConfig: algorithm: KEY_ALGORITHM size: KEY_SIZE acme: enabled: ACME_ENABLED
Ersetzen Sie die folgenden Variablen:
Variable Beschreibung ROOT_CA_NAME Der Name der Stammzertifizierungsstelle. USER_PROJECT_NAMESPACE Der Name des Namespace, in dem sich das Nutzerprojekt befindet. COMMON_NAME Der allgemeine Name des CA-Zertifikats. DURATION Die angeforderte Lebensdauer des CA-Zertifikats. SECRET_NAME Der Name des Kubernetes-Secrets, das den privaten Schlüssel und das signierte CA-Zertifikat enthält. Die folgenden Variablen sind optionale Werte:
Variable Beschreibung RENEW_BEFORE Die Rotationszeit, bevor das CA-Zertifikat abläuft. ORGANIZATION Die Organisation, die im Zertifikat verwendet werden soll. ORGANIZATIONAL_UNITS Organisationseinheiten, die im Zertifikat verwendet werden sollen. COUNTRIES Länder, die im Zertifikat verwendet werden sollen. LOCALITIES Städte, die im Zertifikat verwendet werden sollen. PROVINCES Bundesland oder Provinz, die im Zertifikat verwendet werden sollen. STREET_ADDRESSES Straßenadressen, die auf dem Zertifikat verwendet werden sollen. POSTAL_CODES Postleitzahlen, die auf dem Zertifikat verwendet werden sollen. EXTENDED_KEY_USAGE Die erweiterte Schlüsselverwendung für das Zertifikat. Wenn ein Wert angegeben wird, sind die zulässigen Werte serverAuth
undclientAuth
.KEY_ALGORITHYM Der für dieses Zertifikat verwendete Algorithmus für den privaten Schlüssel. Zulässige Werte sind RSA
,Ed25519
oderECDSA
. Wenn die Größe nicht angegeben ist, wird standardmäßig 256 fürECDSA
und 2048 fürRSA
verwendet. Die Schlüsselgröße wird fürEd25519
ignoriert.KEY_SIZE Die Größe des privaten Schlüssels für dieses Zertifikat in Bit hängt vom Algorithmus ab. RSA
kann 2048, 3072, 4096 oder 8192 sein (Standard: 2048).ECDSA
kann 256, 384 oder 521 sein (Standard: 256).Ed25519
ignoriert die Größe.ACME_ENABLED Wenn auf true
festgelegt, wird die CA im ACME-Modus ausgeführt und gibt die ACME-Server-URL aus. Anschließend können Sie den ACME-Client und das ACME-Protokoll verwenden, um Zertifikate zu verwalten.Wenden Sie die benutzerdefinierte Ressource auf Ihre Distributed Cloud-Instanz an:
kubectl apply -f root-ca.yaml –kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG
Ersetzen Sie
MANAGEMENT_API_SERVER_KUBECONFIG
durch den Pfad zur kubeconfig-Datei des Management API-Servers.Prüfen Sie, ob die Stammzertifizierungsstelle bereit ist. Normalerweise dauert es etwa 40 Minuten, bis die CA bereit ist:
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificateauthority.pki.security.gdc.goog/ROOT_CA_NAME -ojson | jq -r ' .status.conditions[] | select( .type as $id | "Ready" | index($id))
Die Ausgabe sieht dann ungefähr so aus:
{ "lastTransitionTime": "2025-01-24T17:09:19Z", "message": "CA reconciled", "observedGeneration": 2, "reason": "Ready", "status": "True", "type": "Ready" }
Zertifizierungsstellen auflisten
So listen Sie alle Certificate Authority Service-Ressourcen in Ihrer Air-Gap-Instanz von Distributed Cloud auf:
Verwenden Sie den Parameter certificateauthorities
, um alle CertificateAuthority
-Ressourcen aufzulisten:
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificateauthorities
Die Ausgabe sieht dann ungefähr so aus:
NAMESPACE NAME READY REASON AGE
foo root-ca True Ready 7h24m
foo sub-ca True Ready 7h24m