OpenShift 文档正在迁移,不久后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

重新颁发内部证书

Red Hat Advanced Cluster Security for Kubernetes 的每个组件都使用 X.509 证书来向其他组件进行身份验证。这些证书有过期日期,您必须在证书过期前重新颁发或轮换证书。您可以通过在 RHACS 门户中选择**平台配置**→**集群**并查看**凭据过期**列来查看证书过期日期。

重新颁发 Central 的内部证书

Central 使用内置服务器证书在与其他 Red Hat Advanced Cluster Security for Kubernetes 服务通信时进行身份验证。此证书对于您的 Central 安装是唯一的。当 Central 证书即将过期时,RHACS 门户会显示信息横幅。

信息横幅仅在证书过期日期前 15 天出现。

对于基于 Operator 的安装,从 RHACS 4.3.4 版本开始,Operator 将在证书过期前 6 个月自动轮换所有 Central 组件的服务传输层安全 (TLS) 证书。适用以下条件

  • 密钥中证书的轮换不会触发组件自动重新加载它们。但是,重新加载通常会在 pod 作为 RHACS 升级的一部分被替换或节点重新启动时发生。如果这两种事件都没有每 6 个月至少发生一次,则必须在旧的(内存中)服务证书过期前重新启动 pod。例如,您可以删除带有包含 centralcentral-dbscannerscanner-db 值之一的 app 标签的 pod。

  • CA 证书不会更新。它们有效期为 5 年。

  • 安全集群组件使用的初始化包中的服务证书不会更新。您必须定期轮换初始化包。

对于非基于 Operator 的安装,您必须手动轮换 TLS 证书。手动轮换证书的说明包含在以下部分。

先决条件

  • 要重新颁发或轮换证书,您必须对ServiceIdentity资源具有写入权限。

步骤

  1. 在 RHACS 门户中,点击横幅中显示的证书过期公告链接,下载包含新密钥的 YAML 配置文件。该密钥包含证书和密钥值。

  2. 通过运行以下命令,将新的 YAML 配置文件应用于已安装 Central 的集群

    $ oc apply -f <secret_file.yaml>

  3. 重启 Central 以应用更改。

重启 Central 容器

您可以通过终止 Central 容器或删除 Central Pod 来重启 Central 容器。

步骤

  • 运行以下命令来终止 Central 容器

    您必须等待至少 1 分钟,直到 OpenShift Container Platform 传播您的更改并重启 Central 容器。

    		 
    $ oc -n stackrox exec deploy/central -c central -- kill 1

  • 或者,运行以下命令删除 Central Pod

    $ oc -n stackrox delete pod -lapp=central

重新颁发 Scanner 的内部证书

Scanner 有一个内置证书,用于与 Central 通信。

当 Scanner 证书即将过期时,RHACS 门户会显示信息横幅。

信息横幅仅在证书过期日期前 15 天出现。
先决条件

  • 要重新颁发证书,您必须对ServiceIdentity资源具有写入权限。

步骤

  1. 点击横幅中的链接下载 YAML 配置文件,其中包含新的 OpenShift Container Platform 密钥,包括证书和密钥值。

  2. 将新的 YAML 配置文件应用于您安装 Scanner 的集群。

    $ oc apply -f <secret_file.yaml>

  3. 重启 Scanner 以应用更改。

重启 Scanner 和 Scanner DB 容器

您可以通过删除 Pod 来重启 Scanner 和 Scanner DB 容器。

步骤

  • 要删除 Scanner 和 Scanner DB Pod,请运行以下命令

    • 在 OpenShift Container Platform 上

      $ oc delete pod -n stackrox -l app=scanner; oc -n stackrox delete pod -l app=scanner-db

    • 在 Kubernetes 上

      $ kubectl delete pod -n stackrox -l app=scanner; kubectl -n stackrox delete pod -l app=scanner-db

重新颁发 Sensor、Collector 和 Admission controller 的内部证书

Sensor、Collector 和 Admission controller 使用证书相互通信,并与 Central 通信。

要替换证书,请使用以下方法之一

  • 在安全集群上创建、下载和安装初始化包。您必须具有管理员用户角色才能创建初始化包。

  • 使用自动升级功能。自动升级仅适用于使用roxctl CLI 的静态清单部署。

使用初始化包重新颁发安全集群的内部证书

安全集群包含 Collector、Sensor 和 Admission Control 组件。这些组件在与其他 Red Hat Advanced Cluster Security for Kubernetes 组件通信时,使用内置服务器证书进行身份验证。

当 Central 证书即将过期时,RHACS 门户会显示信息横幅。

信息横幅仅在证书过期日期前 15 天出现。
先决条件

  • 要重新颁发证书,您必须对ServiceIdentity资源具有写入权限。

安全地存储此包,因为它包含密钥。您可以在多个安全集群上使用相同的包。您必须具有管理员用户角色才能创建初始化包。
步骤

  • 要使用 RHACS 门户生成初始化包

    1. 选择**平台配置** → **集群**。

    2. 点击**管理令牌**。

    3. 转到**身份验证令牌**部分,然后点击**集群初始化包**。

    4. 点击**生成包**。

    5. 输入集群初始化包的名称,然后点击**生成**。

    6. 要下载生成的包,请点击**下载 Kubernetes 密钥文件**。

  • 要使用roxctl CLI 生成初始化包,请运行以下命令

    $ roxctl -e <endpoint> -p <admin_password> central \
  init-bundles generate --output-secrets <bundle_name> \
  init-bundle.yaml
后续步骤

  • 要在每个安全集群上创建必要的资源,请运行以下命令

    $ oc -n stackrox apply -f <init-bundle.yaml>

使用自动升级重新颁发安全集群的内部证书

您可以使用自动升级重新颁发 Sensor、Collector 和 Admission controller 的内部证书。

自动升级仅适用于使用roxctl CLI 的基于静态清单的部署。请参阅《安装》章节“使用 roxctl CLI 安装”部分中的“安装 Central”。
先决条件

  • 您必须已为所有集群启用自动升级。

  • 要重新颁发证书,您必须对ServiceIdentity资源具有写入权限。

步骤

  1. 在 RHACS 门户中,转到**平台配置** → **集群**。

  2. 在**集群**视图中,选择一个**集群**以查看其详细信息。

  3. 在集群详细信息面板中,选择链接以**使用自动升级应用凭据**。

应用自动升级后,Red Hat Advanced Cluster Security for Kubernetes 会在选定的集群中创建新的凭据。但是,您仍然会看到通知。在每个 Red Hat Advanced Cluster Security for Kubernetes 服务在服务重启后开始使用新凭据时,通知将会消失。