O Google Distributed Cloud (GDC) air-gapped fornece uma API de infraestrutura de chave pública (PKI) para obter um certificado Web. Esta API suporta vários modos de utilizador:
- Totalmente geridos: certificados emitidos pela infraestrutura da PKI do GDC e encadeados a uma autoridade de certificação (AC) raiz autoassinada gerida pelo GDC.
- BYO cert: fornece um conjunto de certificados com um certificado com carateres universais predefinido. O GDC vai usar o certificado com a melhor correspondência para o seu serviço.
- BYO cert com ACME: certificados usados por serviços públicos emitidos pelo seu servidor ACME.
- BYO SubCA: certificados emitidos pela infraestrutura de PKI do GDC e encadeados à sua SubCA. Tem de fornecer a SubCA e permitir que a GDC a opere.
Definições do modo PKI de infraestrutura
Esta secção oferece uma explicação detalhada de cada modo de utilizador de ICP.
Modo totalmente gerido (modo predefinido)
No modo totalmente gerido, cada cluster de administrador da organização baseia-se na infraestrutura de chave pública (PKI) do GDC para emitir certificados. Quando cria uma nova organização, este modo é o modo predefinido aplicado. Posteriormente, pode mudar para um modo de ICP diferente.
Com este modo, tem de obter e distribuir a AC raiz para o seu ambiente para estabelecer confiança.
Modo de certificados BYO
O modo de certificado BYO suporta a assinatura de certificados de folhas com ACs externas ou geridas pelo utilizador. Este modo gera um pedido de assinatura de certificado (CSR) para cada pedido de certificado. Enquanto aguarda pela assinatura, o modo de certificado BYO procura um certificado assinado pelo cliente existente no conjunto que corresponda ao pedido de certificado:
- Se não conseguir encontrar um certificado correspondente, uma AC alternativa gerida pela GDC emite um certificado temporário pronto para utilização imediata.
- Se encontrar um certificado correspondente, usa-o como certificado temporário para o pedido atual.
Para assinar o CSR, tem de seguir estes passos:
- Transfira o CSR do
Certificateestado do recurso personalizado. - Carregue o certificado assinado e o certificado da AC externa para o mesmo recurso personalizado
Certificatecom uma atualização ao campospec.
Para gerir a validação e substituir o certificado temporário, o Distributed Cloud atualiza o segredo do certificado com o certificado carregado e a AC externa. Não tem de alterar as suas lojas de confiança.
Para mais informações, consulte o artigo Assine o certificado BYO.
Use os seus próprios certificados com o modo ACME
Com o BYO Cert com o modo ACME, um cliente ACME gerido pela GDC é implementado num site da Distributed Cloud e comunica com um servidor ACME; uma CA implementada por si no seu site. O servidor ACME usa o protocolo ACME para pedir, validar e gerir certificados.
O protocolo ACME suporta diferentes desafios, por exemplo, HTTP-01 e DNS-01. Estes desafios ajudam a comprovar a propriedade do domínio e a obter certificados automaticamente. A nuvem distribuída usa o desafio DNS-01. Com este desafio, o cliente da nuvem distribuída adiciona um registo DNS específico à zona DNS do domínio. Assim que o desafio for concluído com êxito, a AC ACME emite automaticamente o certificado. Não tem de alterar as suas lojas de confiança.
Para saber mais acerca do protocolo ACME, consulte o documento público Datatracker para a RFC 8555: https://datatracker.ietf.org/doc/html/rfc8555.
Modo BYO SubCA
Com o modo BYO SubCA, é gerada uma CSR para a SubCA no cluster de administrador da organização do Distributed Cloud. Tem de assinar o pedido de CSR e carregar o certificado assinado no sistema. Para mais informações, consulte o artigo
Assine o certificado da sub-AC da funcionalidade BYO.
Pode criar um recurso personalizado CertificateIssuer que aponte para esta SubCA e marcá-lo como o CertificateIssuer predefinido.
A subAC criada recentemente emite todos os certificados Web subsequentes. Não tem de alterar as suas lojas de confiança.
Faça a transição para um modo de ICP diferente
A API PKI suporta a transição do modo totalmente gerido predefinido para outros modos personalizados suportados. Para mais informações, consulte o artigo Faça a transição para diferentes modos de ICP.