Google Distributed Cloud (GDC) air-gapped 提供了一个公钥基础结构 (PKI) API 来获取 Web 证书。本页面介绍了如何将默认证书签发者更改为其他签发者。如需详细了解 PKI 证书模式,请参阅网络 TLS 证书配置。
准备工作
如需获得配置 PKI 默认证书签发者所需的权限,请让您的组织 IAM 管理员为您授予系统命名空间中的 Infra PKI Admin (infra-pki-admin) 角色。
更改默认证书颁发者
默认的发布者标签类似于以下示例。对于每个命名空间,一个
CertificateIssuer必须包含以下标签:pki.security.gdc.goog/is-default-issuer: 'true'查看
pki-system命名空间中的当前默认签发者:kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true输出类似于以下内容:
NAME READY REASON ISDEFAULT default-tls-ca-issuer True CAaaSReady true修改现有默认发卡机构,并更新发卡机构中的默认发卡机构标签:
kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'将 CURRENT_DEFAULT_ISSUER 替换为当前默认证书签发者的名称。
如需将新的
CertificateIssuer设置为默认签发者,请更新标签:kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true将 NEW_DEFAULT_ISSUER 替换为新的默认证书签发者的名称。
手动触发证书重新签发
切换默认证书签发者后,除非证书即将过期,否则 Distributed Cloud 不会自动重新签发由之前的默认证书签发者签名的证书。如需立即使用新的默认签发者重新签发证书,请参阅手动重新签发 PKI 网络证书。