變更預設憑證核發機構

Google Distributed Cloud (GDC) 氣隙隔離提供公開金鑰基礎架構 (PKI) API,可取得網頁憑證。本頁提供操作說明,協助您將預設憑證核發機構變更為其他機構。如要進一步瞭解 PKI 憑證模式,請參閱「Web TLS certificate configuration」(網頁 TLS 憑證設定)。

事前準備

如要取得設定 PKI 預設憑證簽發機構所需的權限,請要求機構 IAM 管理員在系統命名空間中,授予您基礎架構 PKI 管理員 (infra-pki-admin) 角色。

變更預設憑證核發機構

  1. 預設發卡機構標籤如下所示。每個命名空間都必須包含標籤:CertificateIssuer

    pki.security.gdc.goog/is-default-issuer: 'true'

  2. pki-system 命名空間中查看目前的預設簽發者:

    kubectl get certificateissuers -n pki-system -l pki.security.gdc.goog/is-default-issuer=true

    輸出看起來類似以下內容:

    NAME                    READY   REASON       ISDEFAULT
default-tls-ca-issuer   True    CAaaSReady   true

  3. 編輯現有的預設發卡機構,並更新發卡機構的預設發卡機構標籤:

    kubectl label --overwrite certificateissuers CURRENT_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer='false'

    CURRENT_DEFAULT_ISSUER 替換為目前預設憑證核發機構的名稱。

  4. 如要將新的 CertificateIssuer 設為預設簽發者,請更新標籤:

    kubectl label --overwrite certificateissuers NEW_DEFAULT_ISSUER -n pki-system pki.security.gdc.goog/is-default-issuer=true

    NEW_DEFAULT_ISSUER 替換為新的預設憑證簽發者名稱。

手動觸發憑證重新核發程序

切換預設憑證核發機構後,除非憑證即將到期,否則 Distributed Cloud 不會自動重新核發由先前預設憑證核發機構簽署的憑證。如要立即使用新的預設簽發者重新核發憑證,請參閱「手動重新核發 PKI 網路憑證」。