8.2. 安全证书生命周期
MicroShift 证书被分为两个基本组:
- 短期证书的有效期为一年。
- 长期证书的有效期为 10 年。
大多数服务器或叶证书都是短期的。
一个长期的证书示例是用于 system:admin 用户
身份验证的客户端证书,或 kube-apiserver
外部服务证书的证书。
8.2.1. 证书轮转
过期或接近其过期日期的证书需要轮转,以确保继续 MicroShift 操作。当 MicroShift 因任何原因重启时,接近过期的证书将被轮转。当证书被设置为马上过期或已过期,可能会导致自动 MicroShift 重启执行轮转。
注意
如果轮转的证书是证书颁发机构(CA),则其签署的所有证书都会轮转。
8.2.1.1. 短期证书
以下情况描述了在短期证书生命周期内 MicroShift 的操作:
无轮转:
- 当短期证书最多已存在 5 个月时,不会发生轮转。
重启时轮转:
- 当短期证书已存在 5 到 8 个月时,它会在 MicroShift 启动或重启时进行轮转。
自动重启进行轮转:
- 当短期证书存在超过 8 个月时,MicroShift 可以自动重启以轮转并应用新证书。
8.2.1.2. 长期证书
以下情况描述了在长期证书生命周期内 MicroShift 的操作:
无轮转:
- 当长期证书存在最多 8.5 年时,不会发生轮转。
重启时轮转:
- 当长期证书存在 8.5 到 9 年时,它会在 MicroShift 启动或重启时进行轮转。
自动重启进行轮转:
- 当长期证书存在超过 9 年时,MicroShift 可以自动重启来轮转并应用新证书。