Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 3 章 重新签发内部证书

Red Hat Advanced Cluster Security for Kubernetes 的每个组件都使用 X.509 证书向其他组件验证其自身。这些证书有过期日期,必须在证书过期前重新发布或轮转证书。您可以通过在 RHACS 门户中选择 Platform Configuration Clusters 来查看证书过期日期,并查看 Credential Expiration 列。

3.1. 为 Central 服务保留内部证书
复制链接

Central 服务包含 Central、Central DB、Scanner 和 Scanner V4 组件。在与其他 Red Hat Advanced Cluster Security for Kubernetes (RHACS)服务通信时,Central 服务使用内置服务器证书进行身份验证。此证书对中央服务安装是唯一的。当 Central 服务证书即将过期时,RHACS 门户会显示一个信息横幅。

注意

信息性横幅仅在证书过期日期前 15 天出现。

从 RHACS 4.3.4 开始,Operator 会在所有 Central 组件 6 个月前自动轮转服务传输层安全(TLS)证书。

重要
  • TLS 证书的自动轮转只适用于基于 Operator 的安装。对于所有其他安装方法,您必须手动轮转 TLS 证书。
  • secret 中的 TLS 证书轮转不会自动触发组件来重新加载它们。如果对应的 pod 至少每 6 个月重启,您必须手动重启 pod,以便在旧 pod 过期前载入新证书。
  • 证书颁发机构(CA)证书不会被更新。它们有效期为 5 年。

3.1.1. 为 Central 重写内部证书
复制链接

您可以通过重新颁发内部证书,在 Central 和其他 Red Hat Advanced Cluster Security for Kubernetes (RHACS)组件之间维护安全通信。

先决条件

  • 您有 Administration 资源的写入权限。

流程

  1. 在 RHACS 门户中,点横幅中的链接声明证书过期时间下载 YAML 配置文件,该文件包含新 secret。secret 包含证书和密钥值。

  2. 要将新的 YAML 配置文件应用到安装 Central 的集群,请运行以下命令: 

    $ oc apply -f <secret_file.yaml>
    Copy to Clipboard Toggle word wrap
  3. 要应用更改,请重启 Central。

3.1.1.1. 重启 Central 容器
复制链接

您可以通过删除 Central pod 来重启 Central 容器。

重要

如果使用 Kubernetes,请输入 kubectl 而不是 oc

流程

  • 要删除 Central pod,请运行以下命令: 

    $ oc -n stackrox delete pod -lapp=central
    Copy to Clipboard Toggle word wrap

3.1.2. 为 Central DB 重写内部证书
复制链接

您可以通过重新颁发内部证书,在 Central DB 和其他 Red Hat Advanced Cluster Security for Kubernetes (RHACS)组件之间维护安全通信。

先决条件

  • 您有 Administration 资源的写入权限。

流程

  1. 在 RHACS 门户中,点横幅中的链接声明证书过期时间下载 YAML 配置文件,该文件包含新 secret。secret 包含证书和密钥值。

  2. 要将新的 YAML 配置文件应用到安装 Central DB 的集群,请运行以下命令: 

    $ oc apply -f <secret_file.yaml>
    Copy to Clipboard Toggle word wrap
  3. 要应用更改,请重启 Central DB。

3.1.2.1. 重启 Central DB 容器
复制链接

您可以通过删除 Central DB pod 来重启 Central DB 容器。

重要

如果使用 Kubernetes,请输入 kubectl 而不是 oc

流程

  • 要删除 Central DB pod,请运行以下命令: 

    $ oc -n stackrox delete pod -lapp=central-db
    Copy to Clipboard Toggle word wrap

3.1.3. 为 Scanner 重写内部证书
复制链接

您可以通过重新颁发内部证书,在 Scanner 和其他 Red Hat Advanced Cluster Security for Kubernetes (RHACS)组件之间维护安全通信。

先决条件

  • 您有 Administration 资源的写入权限。

流程

  1. 点横幅中的链接下载 YAML 配置文件,该文件包含新的 OpenShift Container Platform secret,包括证书和密钥值。

  2. 要将新的 YAML 配置文件应用到安装 Scanner 的集群,请运行以下命令: 

    $ oc apply -f <secret_file.yaml>
    Copy to Clipboard Toggle word wrap
  3. 要应用更改,请重启 Scanner。

3.1.3.1. 重启 Scanner 和 Scanner DB 容器
复制链接

您可以通过删除 pod 来重启 Scanner 和 Scanner DB 容器。

重要

如果使用 Kubernetes,请输入 kubectl 而不是 oc

流程

  • 要删除 Scanner pod,请运行以下命令: 

    $ oc delete pod -n stackrox -l app=scanner
    Copy to Clipboard Toggle word wrap

  • 要删除 Scanner DB pod,请运行以下命令: 

    $ oc -n stackrox delete pod -l app=scanner-db
    Copy to Clipboard Toggle word wrap

3.1.4. 为 Scanner V4 重写内部证书
复制链接

您可以通过重新使用内部证书来维护 Scanner V4 和其他 Red Hat Advanced Cluster Security for Kubernetes (RHACS)组件之间的安全通信。

先决条件

  • 您有 Administration 资源的写入权限。

流程

  1. 点横幅中的链接下载 YAML 配置文件,该文件包含新的 OpenShift Container Platform secret,包括证书和密钥值。

  2. 要将新的 YAML 配置文件应用到安装 Scanner V4 的集群,请运行以下命令: 

    $ oc apply -f <secret_file.yaml>
    Copy to Clipboard Toggle word wrap
  3. 要应用更改,请重启 Scanner V4。

3.1.4.1. 重启 Scanner V4 容器
复制链接

您可以通过删除对应的 pod 来重启 Scanner V4 Matcher, Indexer 和 DB 容器。

重要

如果使用 Kubernetes,请输入 kubectl 而不是 oc

流程

  • 要删除 Scanner V4 Matcher pod,请运行以下命令: 

    $ oc delete pod -n stackrox -l app=scanner-v4-matcher
    Copy to Clipboard Toggle word wrap

  • 要删除 Scanner V4 Indexer pod,请运行以下命令: 

    $ oc delete pod -n stackrox -l app=scanner-v4-indexer
    Copy to Clipboard Toggle word wrap

  • 要删除 Scanner V4 DB pod,请运行以下命令: 

    $ oc delete pod -n stackrox -l app=scanner-v4-db
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat