第3章 内部証明書の再発行
Red Hat Advanced Cluster Security for Kubernetes の各コンポーネントは、X.509 証明書を使用して他のコンポーネントに対して自身を認証します。これらの証明書には有効期限があり、有効期限が切れる前に証明書を再発行またはローテーションする必要があります。証明書の有効期限を表示するには、RHACS ポータルで Platform Configuration
3.1. Central の内部証明書の再発行
Central は、他の Red Hat Advanced Cluster Security for Kubernetes サービスと通信するときに、ビルトインのサーバー証明書を認証に使用します。この証明書は、Central インストールに固有のものです。Central 証明書の有効期限が近づくと、RHACS ポータルに情報バナーが表示されます。
情報バナーは、証明書の有効期限の 15 日前にのみ表示されます。
Operator ベースのインストールの場合は、RHACS バージョン 4.3.4 以降、Operator により、すべての Central コンポーネントのサービス Transport Layer Security (TLS) 証明書が、有効期限が切れる 6 カ月前に自動的にローテーションされます。以下の条件が適用されます。
-
シークレット内の証明書のローテーションによって、コンポーネントが証明書を自動的に再ロードすることはありません。ただし、リロードは通常、RHACS アップグレードの一部として、またはノードの再起動の結果として Pod が交換されるときに発生します。どちらのイベントも少なくとも 6 カ月ごとに発生しない場合は、古い (メモリー内) サービス証明書の有効期限が切れる前に Pod を再起動する必要があります。たとえば、
central、central-db、scanner、またはscanner-dbのいずれかの値を含むappラベルを持つ Pod を削除できます。 - CA 証明書は更新されません。有効期限は 5 年間です。
- セキュアクラスターのコンポーネントによって使用される init バンドル内のサービス証明書は更新されません。初期バンドルは定期的にローテーションする必要があります。
Operator ベースではないインストールの場合、TLS 証明書を手動でローテーションする必要があります。証明書を手動でローテーションする手順は、次のセクションに記載されています。
前提条件
-
証明書を再発行またはローテーションするには、
ServiceIdentityリソースのwrite権限が必要である。
手順
- RHACS ポータルで、証明書の有効期限を通知するバナー内のリンクをクリックして、新しいシークレットを含む YAML 設定ファイルをダウンロードします。シークレットには、証明書とキーの値が含まれます。
次のコマンドを実行して、Central をインストールしたクラスターに新しい YAML 設定ファイルを適用します。
$ oc apply -f <secret_file.yaml>
- Central を再起動して、変更を適用します。
3.1.1. Central コンテナーの再起動
Central コンテナーを強制終了するか、Central Pod を削除して、Central コンテナーを再起動できます。
手順
次のコマンドを実行して、Central コンテナーを強制終了します。
注記OpenShift Container Platform が変更を伝播し、Central コンテナーを再始動するまで、少なくとも 1 分間待機する必要があります。
$ oc -n stackrox exec deploy/central -c central -- kill 1
または、次のコマンドを実行して Central Pod を削除します。
$ oc -n stackrox delete pod -lapp=central
