このページは Cloud Translation API によって翻訳されました。

ウェブ TLS 証明書の構成

Google Distributed Cloud（GDC）エアギャップは、ウェブ証明書を取得するための公開鍵基盤（PKI）API を提供します。この API は、次の複数のユーザーモードをサポートしています。

フルマネージド: GDC PKI インフラストラクチャによって発行され、GDC マネージドの自己署名ルート認証局（CA）にチェーンされている証明書。
BYO 証明書: デフォルトのワイルドカード証明書を含む証明書のプールを指定します。GDC は、サービスに最適な証明書を使用します。
ACME を使用した BYO 証明書: ACME サーバーによって発行され、一般公開サービスで使用される証明書。
BYO SubCA: GDC PKI インフラストラクチャによって発行され、SubCA にチェーンされた証明書。SubCA を提供し、GDC に運用を委託する必要があります。

インフラ PKI モードの定義

このセクションでは、各 PKI ユーザーモードについて詳しく説明します。

フルマネージドモード（デフォルトモード）

フルマネージドモードでは、各組織管理者クラスタは GDC 公開鍵基盤（PKI）に依存して証明書を発行します。新しい組織を作成すると、このモードがデフォルトで適用されます。その後、別の PKI モードに切り替えることができます。

このモードでは、信頼のためにルート CA を取得して環境に配布する必要があります。

PKI フルマネージドモード

BYO 証明書モード

BYO 証明書モードでは、外部 CA またはユーザー管理の CA を使用したリーフ証明書の署名がサポートされています。このモードでは、証明書リクエストごとに証明書署名リクエスト（CSR）が生成されます。署名を待機している間、BYO 証明書モードは、証明書リクエストと一致する既存の顧客署名証明書をプールから検索します。

一致する証明書が見つからない場合、GDC マネージドフォールバック CA は、すぐに使用できる一時証明書を発行します。
一致する証明書が見つかった場合、一致する証明書を現在のリクエストの一時証明書として使用します。

CSR に署名するには、次の手順を行います。

Certificate カスタムリソースのステータスから CSR をダウンロードします。
署名付き証明書と外部 CA 証明書を同じ Certificate カスタムリソースにアップロードし、spec フィールドを更新します。

検証を管理して一時証明書を置き換えるため、Distributed Cloud は、アップロードされた証明書と外部 CA を使用して証明書シークレットを更新します。トラストストアを変更する必要はありません。

詳細については、BYO 証明書に署名するをご覧ください。

PKI BYO 証明書モード

ACME モードでの BYO 証明書

ACME モードの BYO 証明書では、GDC 管理の ACME クライアントが Distributed Cloud サイトにデプロイされ、ACME サーバー（サイトにデプロイされた CA）と通信します。ACME サーバーは、ACME プロトコルを使用して証明書のリクエスト、検証、管理を行います。

ACME プロトコルは、HTTP-01 や DNS-01 などのさまざまなチャレンジをサポートしています。これらのチャレンジは、ドメインの所有権を証明し、証明書を自動的に取得するのに役立ちます。Distributed Cloud は DNS-01 チャレンジを使用します。このチャレンジでは、Distributed Cloud クライアントが特定の DNS レコードをドメインの DNS ゾーンに追加します。チャレンジが正常に完了すると、ACME CA は証明書を自動的に発行します。トラストストアを変更する必要はありません。

ACME プロトコルの詳細については、RFC 8555 の Datatracker 公開ドキュメント（https://datatracker.ietf.org/doc/html/rfc8555）をご覧ください。

ACME モードの PKI BYO 証明書

BYO SubCA モード

BYO SubCA モードでは、SubCA の CSR は Distributed Cloud 組織の管理クラスタ内で生成されます。CSR リクエストに署名し、署名付き証明書をシステムにアップロードする必要があります。詳細については、BYO SubCA 証明書に署名するをご覧ください。この SubCA を指す CertificateIssuer カスタムリソースを作成し、デフォルトの CertificateIssuer としてマークできます。

新しく作成された subCA は、後続のすべてのウェブ証明書を発行します。トラストストアを変更する必要はありません。

PKI BYO SubCA モード

別の PKI モードに移行する

PKI API は、デフォルトのフルマネージドモードから、サポートされている他のカスタムモードへの移行をサポートしています。詳細については、さまざまな PKI モードへの移行をご覧ください。

ウェブ TLS 証明書の構成 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。