Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Google Distributed Cloud (GDC) mit Air Gap bietet eine PKI-API (Public-Key-Infrastruktur) zum Abrufen von Webzertifikaten. Auf dieser Seite finden Sie eine Anleitung zum Ändern des Standardzertifikatausstellers in einen anderen Aussteller. Weitere Informationen zu PKI-Zertifikatsmodi finden Sie unter Web-TLS-Zertifikatskonfiguration.
Hinweise
Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „Infra PKI Admin“ (infra-pki-admin) im System-Namespace zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren des Standardausstellers von PKI-Zertifikaten benötigen.
Standardzertifikatsaussteller ändern
Das Standardlabel des Ausstellers sieht so aus: Für jeden Namespace muss ein CertificateIssuer das Label enthalten:
pki.security.gdc.goog/is-default-issuer:'true'
Rufen Sie den aktuellen Standardaussteller im Namespace pki-system auf:
Ersetzen Sie NEW_DEFAULT_ISSUER durch den Namen des neuen Standardzertifikatausstellers.
Zertifikatausstellung manuell auslösen
Nachdem Sie den Standardzertifikataussteller gewechselt haben, werden Zertifikate, die vom vorherigen Standardzertifikataussteller signiert wurden, nicht automatisch von Distributed Cloud neu ausgestellt, es sei denn, das Zertifikat läuft bald ab. Informationen zum sofortigen Neuausstellen von Zertifikaten mit dem neuen Standardaussteller finden Sie unter PKI-Webzertifikate manuell neu ausstellen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[[["\u003cp\u003eGoogle Distributed Cloud (GDC) air-gapped uses a Public Key Infrastructure (PKI) API to manage web certificates, and you can change the default certificate issuer.\u003c/p\u003e\n"],["\u003cp\u003eTo change the default certificate issuer, you must have the \u003ccode\u003einfra-pki-admin\u003c/code\u003e role in the system namespace, and then modify the label of the current issuer to \u003ccode\u003efalse\u003c/code\u003e before labeling the new one to \u003ccode\u003etrue\u003c/code\u003e.\u003c/p\u003e\n"],["\u003cp\u003eThe default issuer is identified by the label \u003ccode\u003epki.security.gdc.goog/is-default-issuer: 'true'\u003c/code\u003e, and only one \u003ccode\u003eCertificateIssuer\u003c/code\u003e per namespace can have this label.\u003c/p\u003e\n"],["\u003cp\u003eAfter changing the default certificate issuer, certificates signed by the old issuer are not automatically reissued, unless they are near expiration, and instead a manual reissuance is needed.\u003c/p\u003e\n"]]],[],null,["# Change the default certificate issuer\n\nGoogle Distributed Cloud (GDC) air-gapped provides a [public key infrastructure (PKI) API](/distributed-cloud/hosted/docs/latest/gdch/apis/service/security/pki/v1/security-pki-v1)\nto get web certificates. This page provides instructions to change the\ndefault certificate issuer to another issuer. For more information about PKI\ncertificate modes, see [Web TLS certificate configuration](/distributed-cloud/hosted/docs/latest/gdch/platform/pa-user/pki/web-tls-cert-config).\n\nBefore you begin\n----------------\n\nTo get the permissions you need to configure the PKI default certificate issuer,\nask your Organization IAM Admin to grant you the Infra PKI Admin\n(`infra-pki-admin`) role in the system namespace.\n\nChange default certificate issuer\n---------------------------------\n\n1. The default issuer label looks like the following example. For each namespace,\n one `CertificateIssuer` must contain the label:\n\n pki.security.gdc.goog/is-default-issuer: 'true'\n\n2. View the current default issuer in the `pki-system` namespace:\n\n kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true\n\n The output looks similar to the following: \n\n NAME READY REASON ISDEFAULT\n default-tls-ca-issuer True CAaaSReady true\n\n3. Edit the existing default issuer, and update the default issuer label\n from the issuer:\n\n kubectl label --overwrite certificateissuers \u003cvar translate=\"no\"\u003eCURRENT_DEFAULT_ISSUER\u003c/var\u003e -n pki-system pki.security.gdc.goog/is-default-issuer='false'\n\n Replace \u003cvar translate=\"no\"\u003eCURRENT_DEFAULT_ISSUER\u003c/var\u003e with the name of the\n current default certificate issuer.\n4. To set the new `CertificateIssuer` as the default issuer, update the label:\n\n kubectl label --overwrite certificateissuers \u003cvar translate=\"no\"\u003eNEW_DEFAULT_ISSUER\u003c/var\u003e -n pki-system pki.security.gdc.goog/is-default-issuer=true\n\n Replace \u003cvar translate=\"no\"\u003eNEW_DEFAULT_ISSUER\u003c/var\u003e with the name of the new\n default certificate issuer.\n\nManually trigger certificate reissuance\n---------------------------------------\n\nAfter you switch the default certificate issuer, Distributed Cloud\nwon't automatically reissue certificates signed by the previous default\ncertificate issuer unless the certificate is about to expire. To immediately\nreissue certificates with the new default issuer, see\n[Manually reissue PKI web certificates](/distributed-cloud/hosted/docs/latest/gdch/platform/pa-user/pki/pki-cert-reissue)."]]