11.3.5. 独自の CA 証明書の更新

この手順では、Cluster Operator で証明書を生成する代わりに、使用している CA 証明書を更新する方法を説明します。

対応する CA キーを変更しない場合は、この手順を実行します。それ以外の場合は、独自の CA 証明書で使用される秘密鍵を置き換える手順を実行します。

独自の証明書を使用している場合、Cluster Operator は自動的に更新されません。したがって、期限切れ間近の CA 証明書を交換するために、証明書の更新期間中にこの手順を実行することが重要になります。

この手順では、PEM 形式の CA 証明書の更新を説明します。

前提条件

稼働中の Cluster Operator。
独自の CA 証明書と秘密鍵がインストールされている必要があります。
クラスターまたはクライアントの PEM 形式による新しい X.509 証明書が必要です。

手順

CA 証明書の Secret を更新します。
既存のシークレットを編集して新規 CA 証明書を追加し、証明書生成アノテーション値を更新します。
```
oc edit secret <ca_certificate_secret_name>
```
```
oc edit secret <ca_certificate_secret_name>
```
Copy to Clipboard Toggle word wrap
<ca_certificate_secret_name>はSecretの名前で、クラスタCA証明書の場合は<kafka_cluster_name>-cluster-ca-cert であり、クライアントCA証明書の場合は<kafka_cluster_name>-clients-ca-certとなります。
以下の例は、my-cluster という名前の Kafka クラスターに関連付けられたクラスター CA 証明書のシークレットを示しています。
クラスター CA 証明書のシークレット設定例
```
apiVersion: v1
kind: Secret
data:
  ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0F... 
metadata:
  annotations:
    strimzi.io/ca-cert-generation: "0" 
  labels:
    strimzi.io/cluster: my-cluster
    strimzi.io/kind: Kafka
  name: my-cluster-cluster-ca-cert
  #...
type: Opaque
```
```
apiVersion: v1
kind: Secret
data:
  ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0F... 
```
1
```
metadata:
  annotations:
    strimzi.io/ca-cert-generation: "0" 
```
2
```
  labels:
    strimzi.io/cluster: my-cluster
    strimzi.io/kind: Kafka
  name: my-cluster-cluster-ca-cert
  #...
type: Opaque
```
Copy to Clipboard Toggle word wrap
1
現在の base64 でエンコードされた CA 証明書
2
現在の CA 証明書生成アノテーションの値
新規 CA 証明書を base64 にエンコードします。
```
cat <path_to_new_certificate> | base64
```
```
cat <path_to_new_certificate> | base64
```
Copy to Clipboard Toggle word wrap
CA 証明書を更新します。
前の手順の base64 でエンコードされた CA 証明書を、data の ca.crt プロパティーの値としてコピーします。
CA 証明書生成アノテーションの値を増やします。
strimzi.io/ca-cert-generation アノテーションの値を1つ増分して更新します。たとえば、strimzi.io/ca-cert-generation=0 を strimzi.io/ca-cert-generation=1 に変更します。Secret にアノテーションがない場合、値は 0 として扱われるため、1 を指定してアノテーションを追加します。
AMQ Streams が証明書を生成すると、証明書生成アノテーションは Cluster Operator によって自動的に増分されます。独自の CA 証明書を手動で更新するには、値を1増やしたアノテーションを設定します。Cluster Operator が Pod をロールアウトし、証明書を更新できるように、アノテーションには現在のシークレットよりも高い値を指定する必要があります。strimzi.io/ca-cert-generation は、各 CA 証明書の更新で値を1増やす必要があります。

新しい CA 証明書と証明書生成のアノテーション値でシークレットを保存します。

新しい CA 証明書で更新されるシークレット設定の例

apiVersion: v1
kind: Secret
data:
  ca.crt: GCa6LS3RTHeKFiFDGBOUDYFAZ0F... 
metadata:
  annotations:
    strimzi.io/ca-cert-generation: "1" 
  labels:
    strimzi.io/cluster: my-cluster
    strimzi.io/kind: Kafka
  name: my-cluster-cluster-ca-cert
  #...
type: Opaque

apiVersion: v1
kind: Secret
data:
  ca.crt: GCa6LS3RTHeKFiFDGBOUDYFAZ0F...


metadata:
  annotations:
    strimzi.io/ca-cert-generation: "1"


  labels:
    strimzi.io/cluster: my-cluster
    strimzi.io/kind: Kafka
  name: my-cluster-cluster-ca-cert
  #...
type: Opaque

Copy to Clipboard

Toggle word wrap

1: 新しい base64 でエンコードされた CA 証明書
2: 新しい CA 証明書生成アノテーションの値

次の調整時に、Cluster Operator は ZooKeeper、Kafka、およびその他のコンポーネントのローリングアップデートを実行して、新しい CA 証明書を信頼します。

メンテナンス時間枠が設定されている場合には、Cluster Operator は次のメンテナンス時間枠内で最初の調整時に Pod をローリングします。

トップに戻る

11.3.5. 独自の CA 証明書の更新

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links