Créer une autorité de certification racine

Cette page décrit la procédure à suivre pour créer une autorité de certification (CA) racine dans Google Distributed Cloud (GDC) air-gapped.

Une autorité de certification racine, qui se trouve au sommet de la hiérarchie de l'infrastructure à clé publique (PKI), établit l'ancrage de confiance pour la PKI. Pour utiliser des certificats dans une PKI, les appareils, logiciels et composants doivent faire confiance à l'autorité de certification racine. Cette configuration garantit la confiance dans tous les certificats émis par l'autorité de certification racine, ce qui permet de faire confiance à l'infrastructure PKI elle-même.

Avant de commencer

Pour obtenir les autorisations nécessaires pour créer une autorité de certification racine, demandez à votre administrateur IAM de l'organisation de vous accorder le rôle Administrateur du service d'autorité de certification (certificate-authority-service-admin). Pour en savoir plus sur les rôles, consultez Définitions des rôles.

Obtenir le fichier kubeconfig

Pour exécuter des commandes sur le serveur de l'API Management, assurez-vous de disposer des ressources suivantes :

1. Connectez-vous et générez le fichier kubeconfig pour le serveur d'API Management si vous n'en avez pas.

2. Utilisez le chemin d'accès au fichier kubeconfig du serveur de l'API Management pour remplacer MANAGEMENT_API_SERVER_KUBECONFIG dans ces instructions.

Créer une autorité de certification racine

Pour créer une autorité de certification racine, appliquez une ressource personnalisée à votre instance Distributed Cloud isolée.

1. Créez une ressource CertificateAuthority et enregistrez-la en tant que fichier YAML nommé root-ca.yaml :

   apiVersion: pki.security.gdc.goog/v1
   kind: CertificateAuthority
   metadata:
     name: ROOT_CA_NAME
     namespace: USER_PROJECT_NAMESPACE
   spec:
     caProfile:
       commonName: COMMON_NAME
       duration: DURATION
       renewBefore: RENEW_BEFORE
       organizations:
       - ORGANIZATION
       organizationalUnits:
       - ORGANIZATIONAL_UNITS
       countries:
       - COUNTRIES
       localities:
       - LOCALTIES
       provinces:
       - PROVINCES
       streetAddresses:
       - STREET_ADDRESSES
       postalCodes:
       - POSTAL_CODES
     caCertificate:
       selfSignedCA: {}
     certificateProfile:
       keyUsage:
         - digitalSignature
         - keyCertSign
         - crlSign
       extendedKeyUsage:
         - EXTENDED_KEY_USAGE
     secretConfig:
       secretName: SECRET_NAME
       privateKeyConfig:
         algorithm: KEY_ALGORITHM
         size: KEY_SIZE
     acme:
       enabled: ACME_ENABLED
   

   Remplacez les variables suivantes :

   Variable	Description
   ROOT_CA_NAME	Nom de l'autorité de certification racine.
   USER_PROJECT_NAMESPACE	Nom de l'espace de noms dans lequel réside le projet utilisateur.
   COMMON_NAME	Nom commun du certificat de l'autorité de certification.
   DURATION	Durée de vie demandée du certificat CA.
   SECRET_NAME	Nom du secret Kubernetes contenant la clé privée et le certificat CA signé.

   Les variables suivantes sont des valeurs facultatives :

   Variable	Description
   RENEW_BEFORE	Délai de rotation avant l'expiration du certificat CA.
   ORGANIZATION	Organisation à utiliser sur le certificat.
   ORGANIZATIONAL_UNITS	Unités organisationnelles à utiliser sur le certificat.
   COUNTRIES	Pays à utiliser sur le certificat.
   LOCALITIES	Villes à utiliser sur le certificat.
   PROVINCES	États ou provinces à utiliser sur le certificat.
   STREET_ADDRESSES	Adresses postales à utiliser sur le certificat.
   POSTAL_CODES	Codes postaux à utiliser sur le certificat.
   EXTENDED_KEY_USAGE	Utilisation étendue de la clé pour le certificat. Si elle est fournie, les valeurs autorisées sont serverAuth et clientAuth.
   KEY_ALGORITHYM	Algorithme de clé privée utilisé pour ce certificat. Les valeurs autorisées sont RSA, Ed25519 ou ECDSA. Si la taille n'est pas indiquée, la valeur par défaut est 256 pour ECDSA et 2 048 pour RSA. La taille de la clé est ignorée pour Ed25519.
   KEY_SIZE	La taille, en bits, de la clé privée de ce certificat dépend de l'algorithme. RSA autorise 2 048, 3 072, 4 096 ou 8 192 (2 048 par défaut). ECDSA autorise 256, 384 ou 521 (256 par défaut). Ed25519 ignore la taille.
   ACME_ENABLED	Si la valeur est définie sur true, l'autorité de certification s'exécute en mode ACME et génère l'URL du serveur ACME. Vous pouvez ensuite utiliser le client et le protocole ACME pour gérer les certificats.

2. Appliquez la ressource personnalisée à votre instance Distributed Cloud :

   kubectl apply -f root-ca.yaml –kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG
   

   Remplacez MANAGEMENT_API_SERVER_KUBECONFIG par le chemin d'accès au fichier kubeconfig du serveur de l'API Management.

3. Vérifiez la disponibilité de l'autorité de certification racine. Il faut généralement environ 40 minutes pour que l'autorité de certification soit prête :

   kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificateauthority.pki.security.gdc.goog/ROOT_CA_NAME -ojson | jq -r ' 
   .status.conditions[] | select( .type as $id | "Ready" | index($id))
   

   La sortie ressemble à ceci :

   {
     "lastTransitionTime": "2025-01-24T17:09:19Z",
     "message": "CA reconciled",
     "observedGeneration": 2,
     "reason": "Ready",
     "status": "True",
     "type": "Ready"
   }
   

Lister les autorités de certification

Pour lister toutes les ressources Certificate Authority Service dans votre instance Distributed Cloud isolée, procédez comme suit :

Utilisez le paramètre certificateauthorities pour lister toutes les ressources CertificateAuthority :

   kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificateauthorities

La sortie ressemble à ceci :

   NAMESPACE    NAME              READY   REASON   AGE
   foo          root-ca           True    Ready    7h24m
   foo          sub-ca            True    Ready    7h24m