7.5. 确保无缝 CA 轮转
确保无缝 CA 轮转对于避免服务停机或处理紧急情况至关重要。
流程
- 创建新的 CA 证书。
- 将新 CA 证书的公钥添加到 CA 信任捆绑包中,如 "Trust configuration for OpenShift Serverless Operator Serving components 和 Knative Services" 部分所述。保留现有 CA 的公钥。
- 确保所有客户端都已使用最新的 CA 信任捆绑包集合。OpenShift Serverless Serving 组件将自动重新载入更改的 CA 信任捆绑包。
- 如果您有自定义工作负载使用信任捆绑包,请重新加载或相应地重启它们。
-
更新
knative-serving-ca-issuer集群签发者,以引用包含新 CA 证书的 secret。 -
等待
cert-manager续订所有证书或强制它续订所有证书。如需更多信息,请参阅cert-manager文档。 - CA 轮转完全完成后,您可以从信任捆绑包 configmap 中删除旧 CA 的公钥。有足够的时间对所有组件应用更改。
