2.2. 安全证书生命周期

红帽构建的 MicroShift 证书被分为两个基本组：

大多数服务器或叶证书都是短期的。

一个长期的证书示例是用于 system:admin 用户身份验证的客户端证书，或 kube-apiserver 外部服务证书的证书。

2.2.1. 证书轮转

随着证书的年龄，红帽构建的 MicroShift 可以重启以轮转证书。在一个证书临近过期时也可以自动导致重启。阅读以下情况概述以了解相关操作：

1. 绿区：

   1. 当短期证书存在 5 个月时，不会发生轮转。
   2. 当长期证书存在 8.5 年时，不会发生轮转。

2. 黄区：

   1. 当短期证书存在 8 个月时，它会在红帽构建的 MicroShift 启动或重启时进行轮转。
   2. 当长期证书存在 9 年时，它会在红帽构建的 MicroShift 启动或重启时进行轮转。

3. 红区

   1. 当短期证书存在 8 个月时，红帽构建的 MicroShift 会重启以轮转并应用新证书。
   2. 当长期证书存在 9 年时，红帽构建的 MicroShift 会重启以轮转并应用新证书。

注意

如果轮转的证书是证书颁发机构（CA），则其签署的所有证书都会轮转。

图 2.1. 红帽构建的 MicroShift 证书有效性的 stoplight 时间表。