Memformat sertifikat untuk Identity Service GKE

Dokumen ini menjelaskan cara memformat sertifikat saat mengonfigurasi Identity Service GKE. Panduan ini dapat membantu Anda menghindari dan memecahkan masalah terkait sertifikat penyedia identitas saat menggunakan layanan.

Ringkasan

GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda login ke cluster GKE melalui penyedia identitas seperti OIDC dan LDAP. Saat membuat koneksi TLS, Layanan Identitas GKE memvalidasi sertifikat server penyedia, dan memverifikasi apakah issuer sertifikat penyedia adalah salah satu sertifikat certificate authority (CA) yang dikonfigurasi.

String certificateAuthorityData di ClientConfig

Sertifikat CA yang digunakan untuk memverifikasi identitas penyedia dikonfigurasi di kolom certificateAuthorityData di ClientConfig, seperti yang ditunjukkan pada contoh berikut.

Contoh untuk LDAP

...
ldap:
  host: HOST_NAME
  certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
  connectionType: CONNECTION_TYPE
...

dengan CERTIFICATE_AUTHORITY_DATA berisi sertifikat CA berformat PEM yang dienkode base64 untuk server LDAP. Sertakan string yang dihasilkan di certificateAuthorityData sebagai satu baris. Ini hanya boleh diberikan untuk koneksi ldaps dan startTLS.

Contoh untuk OIDC

...
oidc:
  certificateAuthorityData: CERTIFICATE_AUTHORITY_DATA
...

dengan CERTIFICATE_AUTHORITY_DATA berisi string sertifikat berformat PEM yang dienkode base64 untuk penyedia identitas. Sertakan string yang dihasilkan di certificateAuthorityData sebagai satu baris.

Nilai sertifikat yang dienkode dengan base64

Ditentukan dalam RFC 4864, encoding base64 standar menggunakan karakter A hingga Z, a hingga z, 0 hingga 9, +, dan /. Data diisi menggunakan =.

Mengenkode sertifikat CA untuk Identity Service GKE

Sertifikat SSL memiliki format seperti DER, PEM, dan PFX. File PFX biasanya dienkripsi dengan sandi.

Saat Anda mengonfigurasi Identity Service GKE dengan penyedia identitas, sertifikat tidak boleh dilindungi sandi. Hal ini karena tidak ada alur kerja yang tersedia untuk menentukan sandi dekripsi. Oleh karena itu, pastikan Anda mengonversi sertifikat dari format lain ke file yang dienkode PEM menggunakan alat command line openssl di sistem Linux atau Unix. Jika ada beberapa sertifikat, gabungkan sertifikat dan impor sebagai satu file PEM.

Contoh format PEM

Berikut adalah contoh sertifikat yang dienkode PEM:

-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
MQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2ZvbzAeFw0xMzAzMTkxNTQwMTlaFw0x
ODAzMTgxNTQwMTlaMFMxCzAJBgNVBAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNV
BAcTA2ZvbzEMMAoGA1UEChMDZm9vMQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2Zv
bzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzdGfxi9CNbMf1UUcvDQh7MYB
OveIHyc0E0KIbhjK5FkCBU4CiZrbfHagaW7ZEcN0tt3EvpbOMxxc/ZQU2WN/s/wP
xph0pSfsfFsTKM4RhTWD2v4fgk+xZiKd1p0+L4hTtpwnEw0uXRVd0ki6muwV5y/P
+5FHUeldq+pgTcgzuK8CAwEAAaMPMA0wCwYDVR0PBAQDAgLkMA0GCSqGSIb3DQEB
BQUAA4GBAJiDAAtY0mQQeuxWdzLRzXmjvdSuL9GoyT3BF/jSnpxz5/58dba8pWen
v3pj4P3w5DoOso0rzkZy2jEsEitlVM2mLSbQpMM+MUVQCQoiG6W9xuCFuxSrwPIS
pAqEAuV4DNoxQKKWmhVv+J0ptMWD25Pnpxeq5sXzghfJnslJlQND
-----END CERTIFICATE-----

Perhatikan detail berikut dalam contoh:

• Pemisah sertifikat dimulai dengan BEGIN CERTIFICATE dan diakhiri dengan END CERTIFICATE.
• Jumlah tanda hubung yang digunakan dalam pemisah bersifat tetap.
• Nilai sertifikat menggunakan encoding base64 standar (RFC 4864) dengan baris baru (setelah 64 karakter).
• Jeda baris (\n) tidak terlihat. Jangan meng-escape karakter baris baru.

Menentukan nilai sertifikat di ClientConfig

Untuk menentukan nilai sertifikat di ClientConfig, lakukan hal berikut:

1. Tentukan format berenkode PEM untuk sertifikat CA.
2. Mengenkode file PEM menggunakan base64 sesuai RFC 4864. Pastikan output berupa string tunggal yang panjang tanpa jeda baris, seperti pada contoh file PEM yang dienkode base64 berikut:

   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

3. Berikan nilai sertifikat ini untuk kolom certificateAuthorityData di ClientConfig.

Sertifikat CA untuk intermediate certificate

Sertifikat perantara memainkan peran "rantai kepercayaan" antara sertifikat entitas akhir dan sertifikat root. Nilai sertifikat ini harus diformat sebagai string berenkode base64 saat digunakan di ClientConfig. Untuk membuat satu string, gabungkan sertifikat lengkap yang dienkode PEM menjadi satu string, lalu enkode dengan base64.

Berikut adalah contoh rantai kepercayaan yang berurutan yang dimulai dengan sertifikat root.

ServerCert -> IntermediateCA -> DeptCA -> RootCA

Dalam contoh ini, ServerCert dikeluarkan oleh IntermediateCA, yang dikeluarkan oleh DeptCA, yang pada gilirannya dikeluarkan oleh RootCA.

Rantai kepercayaan sebagian didukung oleh Identity Service GKE. Artinya, Anda dapat memberikan rantai dengan hanya beberapa sertifikat, seperti:

IntermediateCA -> DeptCA -> RootCA

IntermediateCA -> DeptCA

ServerCert

Jika hanya dikonfigurasi dengan rantai parsial, Identity Service GKE akan memverifikasi identitas server dengan mencoba mencocokkan sertifikat dalam rantai parsial dengan identitas yang ditampilkan oleh server.

Versi GKE Identity Service sebelumnya, seperti versi sebelum Google Distributed Cloud 1.28.200, memerlukan rantai kepercayaan yang berurutan mulai dari root certificate untuk memverifikasi server. Contoh rantai sebagian yang didukung oleh Identity Service GKE versi sebelumnya:

ServerCert -> IntermediateCA -> DeptCA -> RootCA

IntermediateCA -> DeptCA -> RootCA

DeptCA -> RootCA

Jika Anda mengalami masalah verifikasi sertifikat dan tidak tahu versi GKE Identity Service yang Anda gunakan, coba tambahkan root certificate ke rantai kepercayaan jika Anda tidak memilikinya untuk melihat apakah ini penyebab masalahnya.

Menentukan rantai kepercayaan sertifikat di ClientConfig

Untuk menentukan rantai kepercayaan sertifikat di ClientConfig, lakukan hal berikut:

1. Tentukan format berenkode PEM untuk sertifikat CA yang ingin Anda sertakan dalam rantai sertifikat.

2. Gabungkan file PEM menjadi satu file sehingga root certificate berada di akhir file. Berikut tampilan output-nya:

   -----BEGIN CERTIFICATE-----
   IntermediateCA
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   DeptCA
   -----END CERTIFICATE-----
   -----BEGIN CERTIFICATE-----
   RootCA certificate
   -----END CERTIFICATE-----

3. Enkode file yang digabungkan dengan base64. Pastikan file berisi satu baris teks yang dienkode base64.

4. Berikan nilai sertifikat ini untuk kolom certificateAuthorityData di ClientConfig.