6.5. TLS 証明書の期間の設定
Service Telemetry Framework (STF) で AMQ Interconnect 接続に使用する TLS 証明書の期間を設定するには、ServiceTelemetry
オブジェクトを変更し、certificates
パラメーターを設定します。
6.5.1. TLS 証明書の設定パラメーター
証明書の有効期間は、certificates
パラメーターの次のサブパラメーターで設定できます。
- endpointCertDuration
-
エンドポイント証明書の要求された 期間 または有効期間。最小許容期間は 1 時間です。値は Go time.ParseDuration https://golang.org/pkg/time/#ParseDuration で受け入れられる単位である必要があります。デフォルト値は
70080h
です。 - caCertDuration
-
CA 証明書の要求された 期間 または有効期間。最小許容期間は 1 時間です。値は Go time.ParseDuration https://golang.org/pkg/time/#ParseDuration で受け入れられる単位である必要があります。デフォルト値は
70080h
です。
証明書のデフォルトの期間は長くなります。これは、通常、証明書が更新されるときに Red Hat OpenStack Platform デプロイメントに証明書のサブセットをコピーするためです。QDR CA 証明書の更新プロセスの詳細は、7章AMQ Interconnect 証明書の更新 を参照してください。
ServiceTelemetry
オブジェクトの transports.qdr
定義の一部である QDR の certificates
パラメーターを設定できます。
apiVersion: infra.watch/v1beta1 kind: ServiceTelemetry metadata: name: default namespace: service-telemetry spec: ... transports: ... qdr: enabled: true certificates: endpointCertDuration: 70080h caCertDuration: 70080h ...
6.5.2. TLS 証明書の有効期間の設定
Service Telemetry Framework (STF) で使用する TLS 証明書の期間を設定するには、ServiceTelemetry
オブジェクトを変更し、certificates
パラメーターを設定します。
前提条件
- Service Telemetry Operator のインスタンスをまだデプロイしていません。
ServiceTelemetry
オブジェクトを作成すると、STF に必要な証明書とそのシークレットも作成されます。証明書とシークレットの変更方法の詳細は、7章AMQ Interconnect 証明書の更新 を参照してください。次の手順は、新しい STF デプロイメントで有効です。
手順
TLS 証明書の期間を編集するには、QDR
caCertDuration
を設定します (例: 10 年間の場合は87600h
)。$ oc apply -f - <<EOF apiVersion: infra.watch/v1beta1 kind: ServiceTelemetry metadata: name: default namespace: service-telemetry spec: transport: qdr: enabled: true certificates: caCertDuration: 87600h EOF
検証
証明書の有効期限が正しいことを確認します。
$ oc get secret default-interconnect-selfsigned -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -in - -text | grep "Not After" Not After : Mar 9 21:00:16 2033 GMT