Istio实战（十二）-Istio 延长自签发证书的有效期

        因为历史原因，Istio 的自签发证书只有一年的有效期。如果你选择使用 Istio 的自签发证书，就需要在它们过期之前订好计划进行根证书的更迭。根证书过期可能会导致集群范围内的意外中断。

        我们认为每年更换根证书和密钥是一个安全方面的最佳实践，我们会在后续内容中介绍如何完成根证书和密钥的轮换过程。

        为了了解根证书的剩余有效期，请参考下面过程中的第一步。

        我们提供了下面的过程，用于完成根证书更新工作。Envoy 进程不需要进行重启来载入新的根证书，也就不会影响长链接了。要了解 Envoy 的热重启过程及其影响范围，请参考相关的文档和博客。

一、场景

        如果目前没有使用双向 TLS 功能，未来也不准备使用，那么无需进行任何操作。可以选择升级到 1.0.8、1.1.8 或者更晚的版本，避免未来产生这一问题。

        如果目前没有使用双向 TLS，但是未来准备采用，建议跟随下列步骤进行更新。

        如果目前正在使用自签署证书支持的双向 TLS，请跟随下面的步骤进行操作，并检查当前部署是否受到影响。

二、根证书迁移过程

1. 检查根证书是否过期：

2. 下载