Google Distributed Cloud (GDC) 에어 갭은 웹 인증서를 가져오는 공개 키 인프라 (PKI) API를 제공합니다. 이 페이지에서는 기본 인증서 발급자를 다른 발급자로 변경하는 방법을 설명합니다. PKI 인증서 모드에 대한 자세한 내용은 웹 TLS 인증서 구성을 참고하세요.
시작하기 전에
PKI 기본 인증서 발급자를 구성하는 데 필요한 권한을 얻으려면 조직 IAM 관리자에게 시스템 네임스페이스의 인프라 PKI 관리자(infra-pki-admin) 역할을 부여해 달라고 요청하세요.
기본 인증서 발급기관 변경
기본 발급자 라벨은 다음 예시와 같습니다. 각 네임스페이스에 대해 하나의
CertificateIssuer에 다음 라벨이 포함되어야 합니다.pki.security.gdc.goog/is-default-issuer: 'true'pki-system네임스페이스에서 현재 기본 발급자를 확인합니다.kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true결과는 다음과 유사합니다.
NAME READY REASON ISDEFAULT default-tls-ca-issuer True CAaaSReady true기존 기본 발급기관을 수정하고 발급기관에서 기본 발급기관 라벨을 업데이트합니다.
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'CURRENT_DEFAULT_ISSUER을 현재 기본 인증서 발급자의 이름으로 바꿉니다.
새
CertificateIssuer를 기본 발급자로 설정하려면 라벨을 업데이트하세요.kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=trueNEW_DEFAULT_ISSUER을 새 기본 인증서 발급자 이름으로 바꿉니다.
인증서 재발급 수동 트리거
기본 인증서 발급자를 전환한 후 인증서가 만료되지 않는 한 Distributed Cloud는 이전 기본 인증서 발급자가 서명한 인증서를 자동으로 재발급하지 않습니다. 새 기본 발급자로 인증서를 즉시 재발급하려면 PKI 웹 인증서 수동 재발급을 참고하세요.