11.3.5. 独自の CA 証明書の更新

手順

1. Secret で現在の CA 証明書の詳細を確認します。

   oc describe secret CA-CERTIFICATE-SECRET

   CA-CERTIFICATE-SECRETはSecretの名前で、クラスタCA証明書の場合はKAFKA-CLUSTER-NAME-cluster-ca-certであり、クライアントCA証明書の場合はKAFKA-CLUSTER-NAME-clients-ca-certとなります。

2. シークレットに既存の CA 証明書が含まれるディレクトリーを作成します。

   mkdir new-ca-cert-secret
   cd new-ca-cert-secret

3. 更新する各 CA 証明書のシークレットを取得します。

   oc get secret CA-CERTIFICATE-SECRET -o 'jsonpath={.data.CA-CERTIFICATE}' | base64 -d > CA-CERTIFICATE

   CA-CERTIFICATE を各 CA 証明書の名前に置き換えます。

4. 古いca.crtファイルの名前をca-DATE.crt に変更します。ここで DATEは、YEAR-MONTH-DAYTHOUR-MINUTE-SECONDZ形式の証明書の有効期限です。

   例: ca-2018-09-27T17-32-00Z.crt

   mv ca.crt ca-$(date -u -d$(openssl x509 -enddate -noout -in ca.crt | sed 's/.*=//') +'%Y-%m-%dT%H-%M-%SZ').crt

5. 新規 CA 証明書をディレクトリーにコピーし、ca.crt という名前を付けます。

   cp PATH-TO-NEW-CERTIFICATE ca.crt

6. CA 証明書を対応する Secret に配置します。

   1. 既存のシークレットを削除します。

      oc delete secret CA-CERTIFICATE-SECRET

      CA-CERTIFICATE-SECRET は最初のステップで返される Secret の名前です。

      「Not Exists」エラーを無視します。

   2. シークレットを再作成します。

      oc create secret generic CA-CERTIFICATE-SECRET --from-file=.

7. 作成したディレクトリーを削除します。

   cd ..
   rm -r new-ca-cert-secret

8. CA キーを対応する Secret に配置します。

   1. 既存のシークレットを削除します。

      oc delete secret CA-KEY-SECRET

      CA-KEY-SECRET は CA キーの名前です。これは、クラスター CA キーの場合は KAFKA-CLUSTER-NAME-cluster-ca、クライアント CA キーの場合は KAFKA-CLUSTER-NAME-clients-ca です。

   2. 新しい CA 鍵でシークレットを再作成します。

      oc create secret generic CA-KEY-SECRET --from-file=ca.key=CA-KEY-SECRET-FILENAME

9. シークレットに strimzi.io/kind=Kafka および strimzi.io/cluster=KAFKA-CLUSTER-NAME ラベルを付けます。

   oc label secret CA-CERTIFICATE-SECRET strimzi.io/kind=Kafka strimzi.io/cluster=KAFKA-CLUSTER-NAME
   oc label secret CA-KEY-SECRET strimzi.io/kind=Kafka strimzi.io/cluster=KAFKA-CLUSTER-NAME