11.3.4. 替换 Cluster Operator 生成的 CA 证书使用的私钥
您可以替换由集群 CA 使用的私钥和 Cluster Operator 生成的客户端 CA 证书。替换私钥时,Cluster Operator 会为新私钥生成一个新的 CA 证书。
如果您使用自己的 CA 证书,则无法使用 force-replace
注解。相反,请按照 更新您自己的 CA 证书 的步骤进行操作。
先决条件
- Cluster Operator 正在运行。
- 安装 CA 证书和私钥的 Kafka 集群。
流程
将
strimzi.io/force-replace
注解应用到包含您要续订的私钥的Secret
。表 11.9. 替换私钥的命令 的私钥 Secret annotate 命令 集群 CA
CLUSTER-NAME-cluster-ca
oc annotate secret CLUSTER-NAME-cluster-ca strimzi.io/force-replace=true
客户端 CA
CLUSTER-NAME-clients-ca
oc annotate secret CLUSTER-NAME-clients-ca strimzi.io/force-replace=true
在下一次协调中,Cluster Operator 将:
-
为注解的
Secret
生成一个新的私钥 - 生成新的 CA 证书
如果配置了维护时间窗,Cluster Operator 将在下一个维护时间窗内第一次协调时生成新的私钥和 CA 证书。
客户端应用程序必须重新载入由 Cluster Operator 更新的集群和客户端 CA 证书。