1.3.4. 刷新内部证书
您可以刷新内部证书,它们是 Red Hat Advanced Cluster Management Webhook 和代理服务器使用的证书。
完成以下步骤以刷新内部证书:
运行以下命令,删除与内部证书关联的 secret:
oc delete secret -n open-cluster-management ocm-webhook-secret
备注:有些服务可能没有需要删除的 secret。
运行以下命令,重启与内部证书关联的服务:
oc delete po -n open-cluster-management ocm-webhook-679444669c-5cg76
请记住:许多服务都有副本 ; 每一服务都必须重启。
查看下表,了解包含证书的 pod 概述列表,以及是否需要在重启 pod 前删除 secret 的信息:
| 服务名称 | Namespace | pod 名称示例 | Secret 名称(如果适用) |
|---|---|---|---|
| channels-apps-open-cluster-management-webhook-svc | open-cluster-management | multicluster-operators-application-8c446664c-5lbfk | - |
| multicluster-operators-application-svc | open-cluster-management | multicluster-operators-application-8c446664c-5lbfk | - |
| multiclusterhub-operator-webhook | open-cluster-management | multiclusterhub-operator-bfd948595-mnhjc | - |
| ocm-webhook | open-cluster-management | ocm-webhook-679444669c-5cg76 | ocm-webhook-secret |
| cluster-manager-registration-webhook | open-cluster-management-hub | cluster-manager-registration-webhook-fb7b99c-d8wfc | registration-webhook-serving-cert |
| cluster-manager-work-webhook | open-cluster-management-hub | cluster-manager-work-webhook-89b8d7fc-f4pv8 | work-webhook-serving-cert |
1.3.4.1. 轮转 gatekeeper Webhook 证书
完成以下步骤以轮转 gatekeeper Webhook 证书:
使用以下命令编辑包含证书的 secret:
oc edit secret -n openshift-gatekeeper-system gatekeeper-webhook-server-cert
-
删除
data部分中的以下内容:ca.crt、ca.key、tls.crt' 和tls.key。 使用以下命令删除
gatekeeper-controller-managerpod 来重启 gatekeeper Webhook 服务:oc delete po -n openshift-gatekeeper-system -l control-plane=controller-manager
gatekeeper Webhook 证书被轮转。
