이 페이지에서는 하위 인증 기관(Sub CA)을 만드는 단계를 설명합니다.
하위 CA는 사용자, 컴퓨터, 기기 등의 종단 개체에 직접 인증서를 발급합니다. 이러한 인증서는 대개 루트 CA인 상위 CA에 의해 암호화 방식으로 서명됩니다. 루트 CA를 신뢰하는 시스템은 하위 CA와 하위 CA가 발급하는 인증서를 자동으로 신뢰합니다.
CA 인증서 서명자는 CA Service에서 생성된 다른 CA(예: 루트 CA)이거나 외부 CA일 수 있습니다. 외부 CA를 사용하면 CA Service에서 외부 CA가 서명해야 하는 인증서 서명 요청 (CSR)을 생성합니다.
시작하기 전에
하위 인증 기관을 만드는 데 필요한 권한을 얻으려면 조직 IAM 관리자에게 인증 기관 서비스 관리자(certificate-authority-service-admin) 역할을 부여해 달라고 요청하세요. 역할에 대한 자세한 내용은 역할 정의를 참고하세요.
kubeconfig 파일 가져오기
관리 API 서버에 대해 명령어를 실행하려면 다음 리소스가 있어야 합니다.
관리 API 서버의 kubeconfig 파일이 없는 경우 로그인 및 생성합니다.
관리 API 서버의 kubeconfig 파일 경로를 사용하여 이 안내의
MANAGEMENT_API_SERVER_KUBECONFIG를 바꿉니다.
관리형 하위 CA 만들기
관리형 하위 CA의 경우 CA 인증서의 서명자는 CA Service에서 생성된 다른 CA (루트 CA)입니다.
관리형 하위 CA를 만들려면 분산 클라우드 어플라이언스 인스턴스에 커스텀 리소스를 적용하세요.
CertificateAuthority리소스를 만들고subca.yaml이라는 YAML 파일로 저장합니다.apiVersion: pki.security.gdc.goog/v1 kind: CertificateAuthority metadata: Name: SUB_CA_NAME namespace: USER_PROJECT_NAMESPACE spec: caProfile: commonName: COMMON_NAME duration: DURATION renewBefore: RENEW_BEFORE organizations: - ORGANIZATIONS organizationalUnits: - ORGANIZATIONAL_UNITS countries: - COUNTRIES localities: - LOCALITIES provinces: - PROVINCES streetAddresses: - STREET_ADDRESSES postalCodes: - POSTAL_CODES caCertificate: managedSubCA: certificateAuthorityRef: name: ROOT_CA_NAME namespace: USER_PROJECT_NAMESPACE certificateProfile: keyUsage: - digitalSignature - keyCertSign - crlSign extendedKeyUsage: - EXTENDED_KEY_USAGE secretConfig: secretName: SECRET_NAME privateKeyConfig: algorithm: KEY_ALGORITHM size: KEY_SIZE acme: enabled: ACME_ENABLED다음 변수를 바꿉니다.
변수 설명 SUB_CA_NAME 하위 CA의 이름입니다. USER_PROJECT_NAMESPACE 사용자 프로젝트가 있는 네임스페이스의 이름입니다. COMMON_NAME CA 인증서의 일반 이름입니다. DURATION 요청된 CA 인증서 수명입니다. ROOT_CA_NAME 루트 CA의 이름입니다. SECRET_NAME 비공개 키와 서명된 CA 인증서가 포함된 Kubernetes 보안 비밀의 이름입니다. 다음 변수는 선택적 값입니다.
변수 설명 RENEW_BEFORE CA 인증서가 만료되기 전의 순환 시간입니다. ORGANIZATIONS 인증서에 사용할 조직입니다. ORGANIZATIONAL_UNITS 인증서에 사용할 조직 단위입니다. COUNTRIES 인증서에 사용할 국가입니다. LOCALITIES 인증서에 사용할 도시입니다. PROVINCES 인증서에 사용할 주 또는 도입니다. STREET_ADDRESSES 인증서에 사용할 번지 주소입니다. POSTAL_CODES 인증서에 사용할 우편번호입니다. EXTENDED_KEY_USAGE 인증서의 확장 키 사용입니다. 제공된 경우 허용되는 값은 serverAuth및clientAuth입니다.KEY_ALGORITHYM 이 인증서에 사용된 비공개 키 알고리즘입니다. 허용되는 값은 RSA, Ed25519 또는 ECDSA입니다. 크기가 제공되지 않으면 ECDSA의 경우 256, RSA의 경우 2048이 기본값입니다. Ed25519의 경우 키 크기는 무시됩니다. KEY_SIZE 이 인증서의 비공개 키 크기는 알고리즘에 따라 다릅니다. RSA는 2048, 3072, 4096 또는 8192 (기본값 2048)를 허용합니다. ECDSA는 256, 384 또는 521 (기본값 256)을 허용합니다. Ed25519는 크기를 무시합니다. ACME_ENABLED true로 설정하면 CA가 ACME 모드로 실행되고 ACME 서버 URL이 출력됩니다. 그런 다음 ACME 클라이언트와 프로토콜을 사용하여 인증서를 관리할 수 있습니다.커스텀 리소스를 Distributed Cloud 인스턴스에 적용합니다.
kubectl apply -f subca.yaml --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIGMANAGEMENT_API_SERVER_KUBECONFIG를 관리 API 서버의 kubeconfig 파일 경로로 바꿉니다.하위 CA의 준비 상태를 확인합니다. CA가 준비되는 데 약 40분이 걸립니다.
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificateauthority.pki.security.gdc.goog/SUB_CA_NAME -ojson | jq -r ' .status.conditions[] | select( .type as $id | "Ready" | index($id))'결과는 다음과 유사합니다.
{ "lastTransitionTime": "2025-01-24T17:09:29Z", "message": "CA reconciled", "observedGeneration": 2, "reason": "Ready", "status": "True", "type": "Ready" }
외부 CA에서 하위 CA 만들기
이 하위 CA는 외부 또는 사용자 관리 CA로 리프 인증서 서명을 지원합니다. 사용자가 서명할 CSR을 생성합니다.
CertificateAuthority리소스를 만들고subca-external.yaml이라는 YAML 파일로 저장합니다.apiVersion: pki.security.gdc.goog/v1 kind: CertificateAuthority metadata: Name: SUB_CA_NAME namespace: USER_PROJECT_NAMESPACE spec: caProfile: commonName: COMMON_NAME duration: DURATION renewBefore: RENEW_BEFORE organizations: - ORGANIZATION organizationalUnits: - ORGANIZATIONAL_UNITS countries: - COUNTRIES localities: - LOCALITIES provinces: - PROVINCES streetAddresses: - STREET_ADDRESSES postalCodes: - POSTAL_CODES caCertificate: externalCA: {} certificateProfile: keyUsage: - digitalSignature - keyCertSign - crlSign extendedKeyUsage: - EXTENDED_KEY_USAGE secretConfig: secretName: SECRET_NAME privateKeyConfig: algorithm: KEY_ALGORITHM size: KEY_SIZE acme: enabled: ACME_ENABLED다음 변수를 바꿉니다.
변수 설명 SUB_CA_NAME 하위 CA의 이름입니다. USER_PROJECT_NAMESPACE 이미지를 가져올 프로젝트의 프로젝트 ID입니다. COMMON_NAME CA 인증서의 일반 이름입니다. DURATION 요청된 CA 인증서 수명 SECRET_NAME 비공개 키와 서명된 CA 인증서가 포함된 Kubernetes 보안 비밀의 이름입니다. 다음 변수는 선택적 값입니다.
변수 설명 RENEW_BEFORE CA 인증서가 만료되기 전의 순환 시간입니다. ORGANIZATION 인증서에 사용할 조직입니다. ORGANIZATIONAL_UNITS 인증서에 사용할 조직 단위입니다. COUNTRIES 인증서에 사용할 국가입니다. LOCALITIES 인증서에 사용할 도시입니다. PROVINCES 인증서에 사용할 주 또는 도입니다. STREET_ADDRESSES 인증서에 사용할 번지 주소입니다. POSTAL_CODES 인증서에 사용할 우편번호입니다. EXTENDED_KEY_USAGE 인증서의 확장 키 사용입니다. 제공된 경우 허용되는 값은 serverAuth및clientAuth입니다.KEY_ALGORITHYM 이 인증서에 사용된 비공개 키 알고리즘입니다. 허용되는 값은 RSA,Ed25519,ECDSA입니다. 크기가 제공되지 않으면ECDSA의 경우 기본값은 256이고RSA의 경우 기본값은 2048입니다.Ed25519의 경우 키 크기는 무시됩니다.KEY_SIZE 이 인증서의 비공개 키 크기는 알고리즘에 따라 다릅니다. RSA는 2048, 3072, 4096 또는 8192를 허용합니다 (기본값 2048).ECDSA는 256, 384 또는 521 (기본값 256)을 허용합니다.Ed25519는 크기를 무시합니다.ACME_ENABLED true로 설정하면 CA가 ACME 모드로 실행되고 ACME 서버 URL이 출력됩니다. 그런 다음 ACME 클라이언트와 프로토콜을 사용하여 인증서를 관리할 수 있습니다.커스텀 리소스를 Distributed Cloud 인스턴스에 적용합니다.
kubectl apply -f subca-external.yaml --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG하위 CA의 CSR은 GDC 관리 API 서버 내에서 생성됩니다. CSR을 다운로드하고 서명해야 합니다. 서명한 후 서명된 인증서를 GDC 관리 API 서버에 업로드할 수 있습니다.
Distributed Cloud 환경에서 인증서 서명 요청 (CSR)을 수집합니다.
kubectl get certificateauthorities SUB_CA_NAME -n USER_PROJECT_NAMESPACE -ojson | jq -j '"echo ", .status.externalCA.csr, " | base64 -d > ","sub_ca.csr\n"' | bash이 명령어는 현재 디렉터리에
sub_ca.csr라는 CSR 파일을 생성합니다. 이 파일에는X.509CA 인증서의 CSR이 포함되어 있습니다.고객의 루트 CA를 사용하여
sub_ca.csr파일의 서명된 CA 인증서를 요청합니다.승인된 인증서 서명 요청의 경우 고객의 루트 CA에서 서명한 CA 인증서를 획득해야 합니다. 현재 디렉터리의
sub_ca.crt파일에 인증서를 저장합니다.해당하는 경우 고객의 루트 CA 인증서를 가져와 현재 디렉터리의
ca.crt파일에 저장합니다.인증서의 주체 대체 이름 (SAN) 확장 프로그램을 확인합니다.
openssl x509 -text -noout -in sub_ca.crt | grep -A 1 "Subject Alternative Name"CA 인증서에 SAN이 아닌 일반 이름 (CN)이 있는 경우 인증서의 CN을 확인합니다.
openssl x509 -text -noout -in sub_ca.crt | grep -A 1 "Subject: CN"CertificateAuthority리소스를 패치할spec을 생성합니다.echo "spec: caCertificate: externalCA: signedCertificate: certificate: $(base64 -w0 SUB_CA_NAME.crt) ca: $(base64 -w0 ca.crt)" > patch.txtpatch.txt파일의 콘텐츠는 다음과 유사합니다.spec: caCertificate: externalCA: signedCertificate: certificate: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURSekNDQ… ca: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURRVENDQ…CertificateAuthority리소스의spec필드를 수정합니다.kubectl patch certificateauthority SUB_CA_NAME -n USER_PROJECT_NAMESPACE--patch-file patch.txt --type='merge'BYO 하위 CA의 준비 상태를 확인합니다. 일반적으로 CA가 준비되는 데 약 40분이 소요됩니다.
kubectl -n USER_PROJECT_NAMESPACE get certificateauthority.pki.security.gdc.goog/SUB_CA_NAME -ojson | jq -r ' .status.conditions[] | select( .type as $id | "Ready" | index($id))'결과는 다음과 유사합니다.
{ "lastTransitionTime": "2024-04-30T22:10:50Z", "message": "Certificate authority is ready for use", "observedGeneration": 3, "reason": "Ready", "status": "True", "type": "Ready" }서명된 CA 인증서의 만료일을 확인합니다.
kubectl -n USER_PROJECT_NAMESPACE get secret SECRET_NAME -ojson | jq -j '"echo ", .metadata.name, " $(echo ", .data["tls.crt"], "| base64 -d | openssl x509 -enddate -noout)\n"' | bash
CA 나열
분산 클라우드 오프라인 인스턴스의 모든 인증 기관 서비스 리소스를 나열하려면 다음을 실행하세요.
certificateauthorities 매개변수를 사용하여 모든 CertificateAuthority 리소스를 나열합니다.
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificateauthorities
결과는 다음과 유사합니다.
NAMESPACE NAME READY REASON AGE
foo root-ca True Ready 7h24m
foo sub-ca True Ready 7h24m