5.6. 証明書ローテーションの設定

証明書ローテーションパラメーターを設定して、既存の証明書を置き換えます。

5.6.1. 証明書ローテーションの設定
リンクのコピー

これは、Web コンソールでの OpenShift Virtualization のインストール時に、または HyperConverged カスタムリソース (CR) でインストール後に実行することができます。

前提条件

OpenShift CLI (oc) がインストールされている。

手順

以下のコマンドを実行して HyperConverged CR を開きます。

oc edit hyperconverged kubevirt-hyperconverged -n openshift-cnv

$ oc edit hyperconverged kubevirt-hyperconverged -n openshift-cnv

Copy to Clipboard

Toggle word wrap

以下の例のように spec.certConfig フィールドを編集します。システムのオーバーロードを避けるには、すべての値が 10 分以上であることを確認します。golang ParseDuration 形式に準拠する文字列として、すべての値を表現します。

apiVersion: hco.kubevirt.io/v1beta1
kind: HyperConverged
metadata:
  name: kubevirt-hyperconverged
  namespace: openshift-cnv
spec:
  certConfig:
    ca:
      duration: 48h0m0s
      renewBefore: 24h0m0s 
    server:
      duration: 24h0m0s  
      renewBefore: 12h0m0s

apiVersion: hco.kubevirt.io/v1beta1
kind: HyperConverged
metadata:
  name: kubevirt-hyperconverged
  namespace: openshift-cnv
spec:
  certConfig:
    ca:
      duration: 48h0m0s
      renewBefore: 24h0m0s


    server:
      duration: 24h0m0s


      renewBefore: 12h0m0s

Copy to Clipboard

Toggle word wrap

1: ca.renewBefore の値は ca.duration の値以下である必要があります。
2: server.duration の値は ca.duration の値以下である必要があります。
3: server.renewBefore の値は server.duration の値以下である必要があります。

YAML ファイルをクラスターに適用します。

5.6.2. 証明書ローテーションパラメーターのトラブルシューティング
リンクのコピー

1 つ以上の certConfig 値を削除すると、デフォルト値が以下のいずれかの条件と競合する場合を除き、デフォルト値に戻ります。

ca.renewBefore の値は ca.duration の値以下である必要があります。
server.duration の値は ca.duration の値以下である必要があります。
server.renewBefore の値は server.duration の値以下である必要があります。

デフォルト値がこれらの条件と競合すると、エラーが発生します。

以下の例で server.duration 値を削除すると、デフォルト値の 24h0m0s は ca.duration の値よりも大きくなり、指定された条件と競合します。

例

certConfig:
   ca:
     duration: 4h0m0s
     renewBefore: 1h0m0s
   server:
     duration: 4h0m0s
     renewBefore: 4h0m0s

certConfig:
   ca:
     duration: 4h0m0s
     renewBefore: 1h0m0s
   server:
     duration: 4h0m0s
     renewBefore: 4h0m0s

Copy to Clipboard

Toggle word wrap

これにより、以下のエラーメッセージが表示されます。

error: hyperconvergeds.hco.kubevirt.io "kubevirt-hyperconverged" could not be patched: admission webhook "validate-hco.kubevirt.io" denied the request: spec.certConfig: ca.duration is smaller than server.duration

error: hyperconvergeds.hco.kubevirt.io "kubevirt-hyperconverged" could not be patched: admission webhook "validate-hco.kubevirt.io" denied the request: spec.certConfig: ca.duration is smaller than server.duration

Copy to Clipboard

Toggle word wrap

エラーメッセージには、最初の競合のみが記載されます。続行する前に、すべての certConfig の値を確認します。

トップに戻る

5.6. 証明書ローテーションの設定

5.6.1. 証明書ローテーションの設定
リンクのコピー

5.6.2. 証明書ローテーションパラメーターのトラブルシューティング
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.6. 証明書ローテーションの設定

5.6.1. 証明書ローテーションの設定リンクのコピーリンクがクリップボードにコピーされました!

5.6.2. 証明書ローテーションパラメーターのトラブルシューティングリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

5.6.1. 証明書ローテーションの設定
リンクのコピー

5.6.2. 証明書ローテーションパラメーターのトラブルシューティング
リンクのコピー