Auf dieser Seite wird beschrieben, wie Sie ein Zertifikat mit dem Certificate Authority Service anfordern.
Um Vertrauen und sichere Kommunikation in Ihrem Google Distributed Cloud-System (GDC) mit Air Gap herzustellen, fordern Sie ein ACME-aktiviertes oder ‑deaktiviertes Zertifikat vom Certificate Authority Service an.
Hinweise
Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Certificate Authority Service Admin“ (certificate-authority-service-admin
) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Anfordern eines Zertifikats benötigen.
kubeconfig-Datei abrufen
Damit Sie Befehle für den Management API-Server ausführen können, benötigen Sie die folgenden Ressourcen:
Melden Sie sich an und generieren Sie die kubeconfig-Datei für den Management API-Server, falls Sie noch keine haben.
Verwenden Sie den Pfad zur kubeconfig-Datei des Management API-Servers, um MANAGEMENT_API_SERVER_KUBECONFIG
in dieser Anleitung zu ersetzen.
Zertifikat über Zertifizierungsstelle mit aktiviertem ACME-Modus anfordern
Wenn die Zertifizierungsstelle im ACME-Modus gehostet wird, gibt sie die ACME-Server-URL in ihrem Status aus, nachdem sie bereit ist.
Rufen Sie die CA ACME-Server-URL aus Ihrer Distributed Cloud-Umgebung ab:
kubectl get certificateauthorities CA_NAME -n USER_PROJECT_NAMESPACE -ojson | jq -r '.status.acme.uri'
Ersetzen Sie Folgendes:
CA_NAME
: Der Name der Zertifizierungsstelle, die eine Stamm- oder untergeordnete Zertifizierungsstelle sein kann.USER_PROJECT_NAMESPACE
: Der Name des Namespace, in dem sich das Nutzerprojekt befindet.
Zertifikat über eine Zertifizierungsstelle anfordern, bei der der ACME-Modus deaktiviert ist
Wenn Sie eine Zertifikatsanfrage erstellen möchten, bei der der ACME-Modus deaktiviert ist, müssen Sie eine CertificateRequest
-Ressource erstellen und auf Ihre Distributed Cloud-Air-Gap-Instanz anwenden. Dazu gibt es zwei mögliche Vorgehensweisen:
- Erstellen Sie eine
CertificateResource
und fügen Sie der Ressource eine CSR hinzu. - Erstellen Sie ein
CertificateResource
mit einem automatisch generierten privaten Schlüssel von GDC und geben Sie die Zertifikatskonfigurationen als benutzerdefinierte Werte an.
Zertifikat über eine CSR anfordern
Erstellen Sie eine
CertificateRequest
-Ressource und speichern Sie sie als YAML-Datei mit dem Namencert-request.yaml
. Erstellen Sie mit Ihrem privaten Schlüssel eine Anfrage für die Signierung des Zertifikats (Certificate Signing Request, CSR) und fügen Sie sie Ihrer Ressource hinzu:apiVersion: pki.security.gdc.goog/v1 kind: CertificateRequest metadata: name: CERT_REQ_NAME namespace: USER_PROJECT_NAMESPACE spec: certificateAuthorityRef: name: CA_NAME namespace: USER_PROJECT_NAMESPACE csr: CSR signedCertificateSecret: SECRET_NAME
Ersetzen Sie die folgenden Variablen:
Variable Beschreibung CERT_REQ_NAME Der Name des Zertifikats. USER_PROJECT_NAMESPACE Der Name des Namespace, in dem sich das Nutzerprojekt befindet. CA_NAME Der Name der Zertifizierungsstelle, die eine Stamm- oder untergeordnete Zertifizierungsstelle sein kann. CSR Die Anfrage zur Zertifikatsignierung, die mit der Zertifizierungsstelle signiert werden soll. SECRET_NAME Der Name des Kubernetes-Secrets, das den privaten Schlüssel und das signierte CA-Zertifikat enthält. Wenden Sie die benutzerdefinierte Ressource auf Ihre Distributed Cloud-Instanz an:
kubectl apply -f cert-request.yaml --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG
Ersetzen Sie
MANAGEMENT_API_SERVER_KUBECONFIG
durch den Pfad zur kubeconfig-Datei des Management API-Servers.Prüfen Sie, ob die Zertifikatsanfrage bereit ist:
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificaterequest.pki.security.gdc.goog/CERT_REQ_NAME -ojson | jq -r ' .status.conditions[] | select( .type as $id | "Ready" | index($id))'
Die Ausgabe sieht etwa so aus:
{ "lastTransitionTime": "2025-01-27T12:22:59Z", "message": "Certificate is issued", "observedGeneration": 1, "reason": "Issued", "status": "True", "type": "Ready" }
Rufen Sie den Namen des Zertifikat-Secrets ab:
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificaterequest.pki.security.gdc.goog/CERT_REQ_NAME -ojson | jq -r '.spec.signedCertificateSecret'
Die Ausgabe zeigt das
SECRET_NAME
mit dem signierten Zertifikat:test-jwk-1
Zertifikat mit einem automatisch generierten Schlüssel anfordern
Erstellen Sie eine
CertificateRequest
-Ressource und speichern Sie sie als YAML-Datei mit dem Namencert-request.yaml
. Geben Sie die ausgewählten Werte für das Zertifikat ein:apiVersion: pki.security.gdc.goog/v1 kind: CertificateRequest metadata: name: CERT_REQ_NAME namespace: USER_PROJECT_NAMESPACE spec: certificateAuthorityRef: name: CA_NAME namespace: USER_PROJECT_NAMESPACE certificateConfig: subjectConfig: commonName: COMMON_NAME organization: ORGANIZATION locality: LOCALITY state: STATE country: COUNTRY dnsNames: - DNS_NAMES ipAddresses: - IP_ADDRESSES rfc822Names: - RFC822NAMES uris: - URIS signedCertificateSecret: SECRET_NAME
Ersetzen Sie
COMMON_NAME
durch den allgemeinen Namen des Zertifikats.Ersetzen Sie die folgenden optionalen Variablen. Sie müssen mindestens einen dieser Werte in die
CertificateRequest
-Ressource aufnehmen:Variable Beschreibung ORGANIZATION Die Organisation, die im Zertifikat verwendet werden soll. LOCALITY Der Ort des Zertifikats. STATE Bundesland oder Provinz, das im Zertifikat verwendet werden soll. COUNTRY Das Land des Zertifikats. DNS_NAMES DNSNames
ist eine Liste vondNSName subjectAltNames
, die für das Zertifikat festgelegt werden sollen.IP_ADDRESS Eine Liste der ipAddress subjectAltNames
, die für das Zertifikat festgelegt werden sollen.RFC822_NAMES Eine Liste der rfc822Name subjectAltNames
, die für das Zertifikat festgelegt werden sollen.URIS Eine Liste der uniformResourceIdentifier subjectAltNames
, die für das Zertifikat festgelegt werden sollen.Wenden Sie die benutzerdefinierte Ressource auf Ihre Distributed Cloud-Instanz an:
kubectl apply -f cert-request.yaml --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG
Prüfen Sie, ob die Zertifikatsanfrage bereit ist:
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificaterequest.pki.security.gdc.goog/CERT_REQ_NAME -ojson | jq -r ' .status.conditions[] | select( .type as $id | "Ready" | index($id))'
Die Ausgabe sieht etwa so aus:
{ "lastTransitionTime": "2025-01-27T12:22:59Z", "message": "Certificate is issued", "observedGeneration": 1, "reason": "Issued", "status": "True", "type": "Ready" }
Rufen Sie den Namen des Zertifikat-Secrets ab:
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificaterequest.pki.security.gdc.goog/CERT_REQ_NAME -ojson | jq -r '.spec.signedCertificateSecret'
Die Ausgabe zeigt das
SECRET_NAME
mit dem signierten Zertifikat:test-jwk-1
Zertifikatsanfragen auflisten
Verwenden Sie den Parameter certificaterequests
, um alle CertificateRequest
-Ressourcen aufzulisten:
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG -n USER_PROJECT_NAMESPACE get certificaterequests
Die Ausgabe sieht dann ungefähr so aus:
NAMESPACE NAME READY AGE
foo cert-req True 30s