Memformat sertifikat untuk Identity Service GKE

Dokumen ini menjelaskan cara memformat sertifikat saat mengonfigurasi GKE Identity Service. Panduan ini dapat membantu Anda menghindari dan memecahkan masalah terkait sertifikat penyedia identitas saat menggunakan layanan.

Ringkasan

GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda login ke cluster GKE melalui penyedia identitas seperti OIDC dan LDAP. Saat membuat koneksi TLS, Layanan Identitas GKE memvalidasi sertifikat server penyedia, dan memverifikasi apakah issuer sertifikat penyedia adalah salah satu sertifikat certificate authority (CA) yang dikonfigurasi.

certificateAuthorityData string di ClientConfig

Sertifikat CA yang digunakan untuk memverifikasi identitas penyedia dikonfigurasi di kolom certificateAuthorityData di ClientConfig, seperti yang ditunjukkan dalam contoh berikut.

Contoh untuk LDAP

...
ldap:
  host: HOST_NAME
  certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
  connectionType: CONNECTION_TYPE
...

dengan CERTIFICATE_AUTHORITY_DATA berisi sertifikat CA berformat PEM yang dienkode ke base64 untuk server LDAP. Sertakan string yang dihasilkan dalam certificateAuthorityData sebagai satu baris. Ini hanya boleh diberikan untuk koneksi ldaps dan startTLS.

Contoh untuk OIDC

...
oidc:
  certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
...

dengan CERTIFICATE_AUTHORITY_DATA berisi string sertifikat berformat PEM yang dienkode base64 untuk penyedia identitas. Sertakan string yang dihasilkan dalam certificateAuthorityData sebagai satu baris.

Nilai sertifikat berenkode base64

Didefinisikan dalam RFC 4864, encoding base64 standar menggunakan karakter A hingga Z, a hingga z, 0 hingga 9, +, dan /. Data diisi menggunakan =.

Mengenkode sertifikat CA untuk Layanan Identitas GKE

Sertifikat SSL memiliki format seperti DER, PEM, dan PFX. File PFX biasanya dienkripsi dengan sandi.

Saat Anda mengonfigurasi GKE Identity Service dengan penyedia identitas, sertifikat tidak boleh dilindungi sandi. Hal ini karena tidak ada alur kerja yang tersedia untuk menentukan sandi dekripsi. Oleh karena itu, pastikan Anda mengonversi sertifikat dari format lain ke file yang dienkode PEM menggunakan alat command line openssl di sistem Linux atau Unix. Jika ada beberapa sertifikat, gabungkan sertifikat dan impor sertifikat ini sebagai satu file PEM.

Contoh format PEM

Berikut adalah contoh sertifikat yang dienkode PEM:

-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
MQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2ZvbzAeFw0xMzAzMTkxNTQwMTlaFw0x
ODAzMTgxNTQwMTlaMFMxCzAJBgNVBAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNV
BAcTA2ZvbzEMMAoGA1UEChMDZm9vMQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2Zv
bzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzdGfxi9CNbMf1UUcvDQh7MYB
OveIHyc0E0KIbhjK5FkCBU4CiZrbfHagaW7ZEcN0tt3EvpbOMxxc/ZQU2WN/s/wP
xph0pSfsfFsTKM4RhTWD2v4fgk+xZiKd1p0+L4hTtpwnEw0uXRVd0ki6muwV5y/P
+5FHUeldq+pgTcgzuK8CAwEAAaMPMA0wCwYDVR0PBAQDAgLkMA0GCSqGSIb3DQEB
BQUAA4GBAJiDAAtY0mQQeuxWdzLRzXmjvdSuL9GoyT3BF/jSnpxz5/58dba8pWen
v3pj4P3w5DoOso0rzkZy2jEsEitlVM2mLSbQpMM+MUVQCQoiG6W9xuCFuxSrwPIS
pAqEAuV4DNoxQKKWmhVv+J0ptMWD25Pnpxeq5sXzghfJnslJlQND
-----END CERTIFICATE-----

Perhatikan detail berikut dalam contoh:

• Pembatas sertifikat dimulai dengan BEGIN CERTIFICATE dan diakhiri dengan END CERTIFICATE.
• Jumlah tanda hubung yang digunakan dalam pembatas sudah tetap.
• Nilai sertifikat menggunakan encoding base64 standar (RFC 4864) dengan jeda baris (setelah 64 karakter).
• Pemisah baris (\n) tidak terlihat. Jangan meng-escape karakter baris baru.

Tentukan nilai sertifikat di ClientConfig

Untuk menentukan nilai sertifikat di ClientConfig, lakukan hal berikut:

1. Tentukan format yang dienkode PEM untuk sertifikat CA.
2. Lakukan enkode base64 pada file PEM sesuai dengan RFC 4864. Pastikan output berupa string tunggal panjang tanpa jeda baris, seperti dalam contoh file PEM berenkode base64 berikut:

   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

3. Berikan nilai sertifikat ini untuk kolom certificateAuthorityData di ClientConfig.

Sertifikat CA untuk sertifikat perantara

Sertifikat perantara berperan sebagai "rantai kepercayaan" antara sertifikat entitas akhir dan sertifikat root. Nilai sertifikat ini harus diformat sebagai string berenkode base64 saat digunakan di ClientConfig. Untuk membuat satu string, gabungkan sertifikat lengkap berenkode PEM menjadi satu string, lalu lakukan encoding base64.

Berikut adalah contoh rantai kepercayaan yang berdekatan yang dimulai dengan sertifikat root.

ServerCert -> IntermediateCA -> DeptCA -> RootCA

Dalam contoh ini, ServerCert dikeluarkan oleh IntermediateCA, yang dikeluarkan oleh DeptCA, yang pada gilirannya dikeluarkan oleh RootCA.

Rantai kepercayaan parsial didukung oleh GKE Identity Service. Artinya, Anda dapat menyediakan rantai hanya dengan beberapa sertifikat, seperti:

IntermediateCA -> DeptCA -> RootCA

IntermediateCA -> DeptCA

ServerCert

Jika GKE Identity Service hanya dikonfigurasi dengan rantai parsial, layanan ini akan memverifikasi identitas server dengan mencoba mencocokkan sertifikat dalam rantai parsial dengan identitas yang ditampilkan oleh server.

Versi sebelumnya dari GKE Identity Service, seperti versi sebelum Google Distributed Cloud 1.28.200, memerlukan rantai kepercayaan yang berdekatan yang dimulai dari sertifikat root untuk memverifikasi server. Contoh rantai parsial yang didukung oleh versi Identity Service GKE sebelumnya:

ServerCert -> IntermediateCA -> DeptCA -> RootCA

IntermediateCA -> DeptCA -> RootCA

DeptCA -> RootCA

Jika Anda mengalami masalah verifikasi sertifikat dan tidak tahu versi GKE Identity Service yang Anda gunakan, coba tambahkan sertifikat root ke rantai kepercayaan Anda jika Anda tidak memilikinya untuk melihat apakah ini penyebab masalahnya.

Menentukan rantai kepercayaan sertifikat di ClientConfig

Untuk menentukan rantai kepercayaan sertifikat di ClientConfig Anda, lakukan hal berikut:

1. Tentukan format berenkode PEM untuk sertifikat CA yang ingin Anda sertakan dalam rantai sertifikat.

2. Gabungkan file PEM menjadi satu file sehingga root certificate berada di akhir file. Berikut tampilan outputnya:

   -----BEGIN CERTIFICATE-----
   IntermediateCA
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   DeptCA
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   RootCA certificate
   -----END CERTIFICATE-----

3. Lakukan enkode base64 pada file yang digabungkan. Pastikan file berisi satu baris teks berenkode base64.

4. Berikan nilai sertifikat ini untuk kolom certificateAuthorityData di ClientConfig.