第 3 章 重新签发内部证书
Red Hat Advanced Cluster Security for Kubernetes 的每个组件都使用 X.509 证书向其他组件验证其自身。这些证书具有过期日期,您必须在证书过期前重新发布或轮转证书。您可以通过在 RHACS 门户中选择 Platform Configuration
3.1. 为 Central 重复内部证书
Central 在与其他 Red Hat Advanced Cluster Security for Kubernetes 服务通信时使用内置服务器证书进行身份验证。此证书对 Central 安装是唯一的。RHACS 门户显示 Central 证书即将过期时的信息横幅。
信息横幅仅在证书过期日期前 15 天出现。
对于基于 Operator 的安装,从 RHACS 版本 4.3.4 开始,Operator 会在过期前自动轮转所有 Central 组件的服务传输层安全(TLS)证书 6 个月。适用以下条件:
-
在 secret 中轮转证书不会触发组件自动重新载入它们。但是,当 pod 作为 RHACS 升级的一部分或因为节点重启而被替换时,通常会重新载入。如果这些事件至少每 6 个月发生一次,则必须在旧的(内存中)服务证书过期前重启 pod。例如,您可以删除具有
app标签的 pod,其包含 central、central-dbscanner-db - CA 证书不会更新。它们有效期为 5 年。
- 安全集群组件使用的 init 捆绑包中的服务证书不会更新。您必须定期轮转 init 捆绑包。
对于基于非 Operator 的安装,您必须手动轮转 TLS 证书。以下部分包含了手动轮转证书的说明。
前提条件
-
要重新发布或轮转证书,您必须具有
ServiceIdentity资源的写入权限。
流程
- 在 RHACS 门户中,点击横幅中的链接,该链接声明证书过期时间下载 YAML 配置文件,其中包含新 secret。secret 包括证书和密钥值。
运行以下命令,将新的 YAML 配置文件应用到安装 Central 的集群:
$ oc apply -f <secret_file.yaml>
- 重启 Central 以应用更改。
3.1.1. 重启 Central 容器
您可以通过终止 Central 容器或删除 Central pod 来重启 Central 容器。
流程
运行以下命令以终止 Central 容器:
注意您必须至少等待 1 分钟,直到 OpenShift Container Platform 传播您的更改并重启 Central 容器。
$ oc -n stackrox exec deploy/central -c central -- kill 1
或者,运行以下命令来删除 Central pod:
$ oc -n stackrox delete pod -lapp=central
