11.7. 确保无缝 CA 轮转
确保无缝 CA 轮转至关重要,以避免服务停机或处理紧急情况。
先决条件
- 在 OpenShift Container Platform 上具有集群管理员权限,或者具有 Red Hat OpenShift Service on AWS 或 OpenShift Dedicated 的集群或专用管理员权限。
- 已安装 OpenShift Serverless Operator。
- 您已为 Red Hat OpenShift 安装了 cert-manager Operator。
-
已安装 OpenShift (
oc) CLI。
流程
- 创建 CA 证书。
将新 CA 证书的公钥添加到 CA 信任捆绑包中。
确保您也保留现有 CA 的公钥。
确保所有客户端都使用最新的 CA 信任捆绑包。
Knative Eventing 组件自动重新载入更新的 CA 信任捆绑包。对于使用信任捆绑包的自定义工作负载,请根据需要重新加载或重启它们。
-
更新
knative-eventing-ca-issuerClusterIssuer,以引用包含在第 1 步中创建的 CA 证书的 secret。 强制
cert-manager续订knative-eventing 命名空间中的证书。有关
cert-manager的更多信息,请参阅 用户操作触发的 Reissuance。- 当 CA 轮转完全完成后,从信任捆绑包配置映射中删除旧 CA 的公钥。
