第 3 章 重新签发内部证书
Red Hat Advanced Cluster Security for Kubernetes 的每个组件都使用 X.509 证书向其他组件验证其自身。这些证书有过期日期,必须在证书过期前重新发布或轮转证书。您可以通过在 RHACS 门户中选择 Platform Configuration
3.1. 为 Central 重写内部证书
在与其他 Red Hat Advanced Cluster Security for Kubernetes 服务通信时,Central 使用内置服务器证书进行身份验证。此证书对 Central 安装是唯一的。当 Central 证书即将过期时,RHACS 门户会显示信息横幅。
信息横幅仅在证书过期日期前 15 天出现。
对于基于 Operator 的安装,从 RHACS 版本 4.3.4 开始,Operator 会在其过期前自动轮转所有中央组件的服务传输层安全(TLS)证书 6 个月。适用以下条件:
-
secret 中的证书轮转不会触发组件自动重新载入它们。但是,当 pod 作为 RHACS 升级的一部分替换或因为节点重启时,通常会重新载入。如果这些事件至少每 6 个月发生,则必须在旧的(内存中)服务证书过期前重启 pod。例如,您可以使用
app标签删除 pod,该标签包含中央 ,central-dbscanner, 或scanner-db的值之一。 - CA 证书不会被更新。它们有效期为 5 年。
- 安全集群组件使用的 init 捆绑包中的服务证书不会被更新。您必须定期轮转 init 捆绑包。
对于基于非 Operator 的安装,您必须手动轮转 TLS 证书。以下部分包括了手动轮转证书的说明。
先决条件
-
要重新发布或轮转证书,您必须具有
ServiceIdentity资源的写入权限。
流程
- 在 RHACS 门户中,点横幅中的链接,声明证书过期时间下载包含新 secret 的 YAML 配置文件。secret 包含证书和密钥值。
运行以下命令,将新的 YAML 配置文件应用到安装 Central 的集群:
$ oc apply -f <secret_file.yaml>
- 重启 Central 以应用更改。
3.1.1. 重启 Central 容器
您可以通过终止 Central 容器或删除 Central pod 来重启 Central 容器。
流程
运行以下命令以终止 Central 容器:
注意您必须至少等待 1 分钟,直到 OpenShift Container Platform 传播您的更改并重启 Central 容器。
$ oc -n stackrox exec deploy/central -c central -- kill 1
或者,运行以下命令来删除 Central pod:
$ oc -n stackrox delete pod -lapp=central
