Istio实战(十二)-Istio 延长自签发证书的有效期

        因为历史原因,Istio 的自签发证书只有一年的有效期。如果你选择使用 Istio 的自签发证书,就需要在它们过期之前订好计划进行根证书的更迭。根证书过期可能会导致集群范围内的意外中断。

        我们认为每年更换根证书和密钥是一个安全方面的最佳实践,我们会在后续内容中介绍如何完成根证书和密钥的轮换过程。

        为了了解根证书的剩余有效期,请参考下面过程中的第一步。

        我们提供了下面的过程,用于完成根证书更新工作。Envoy 进程不需要进行重启来载入新的根证书,也就不会影响长链接了。要了解 Envoy 的热重启过程及其影响范围,请参考相关的文档和博客。

一、场景

        如果目前没有使用双向 TLS 功能,未来也不准备使用,那么无需进行任何操作。可以选择升级到 1.0.8、1.1.8 或者更晚的版本,避免未来产生这一问题。

        如果目前没有使用双向 TLS,但是未来准备采用,建议跟随下列步骤进行更新。

        如果目前正在使用自签署证书支持的双向 TLS,请跟随下面的步骤进行操作,并检查当前部署是否受到影响。

二、根证书迁移过程

  1. 检查根证书是否过期:

  2. 下载

你可能感兴趣的:(Istio实战教程,istio,https,ssl)