$ oc edit hyperconverged kubevirt-hyperconverged -n openshift-cnv- 文档
- Red Hat OpenShift Service on AWS
- 虚拟化
- 虚拟机
- 高级虚拟机管理
- 配置证书轮换 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将仅在 docs.redhat.com(所有 Red Hat 产品文档的首页)提供。立即体验 新的文档体验。
- 关于
- 新增功能
- ROSA 简介
- 架构
- 教程
- 教程概述
- ROSA 与 HCP 激活和帐户链接
- ROSA 与 HCP 私有优惠接受和共享
- 验证 ROSA STS 部署的权限
- 使用自定义 DNS 解析器部署 ROSA
- 使用 AWS WAF 和 Amazon CloudFront 保护 ROSA 工作负载
- 使用 AWS WAF 和 AWS ALB 保护 ROSA 工作负载
- 在 ROSA 集群上部署用于数据保护的 OpenShift API
- ROSA 上的 AWS 负载均衡器运算符
- 配置 Microsoft Entra ID(以前称为 Azure Active Directory)作为身份提供者
- 在使用 STS 的 ROSA 上使用 AWS Secrets Manager CSI
- 在 ROSA 上使用 AWS Controllers for Kubernetes
- 在 ROSA 上部署 External DNS 运算符
- 在 ROSA 上使用 cert-manager 运算符动态颁发证书
- 为外部流量分配一致的出站 IP
- 使用自定义域名和 TLS 证书更新组件路由
- ROSA 入门
- 部署应用程序
- 入门
- 准备您的环境
- 安装 ROSA 与 HCP 集群
- 安装 ROSA Classic 集群
- 支持
- Web控制台
- CLI工具
- Red Hat OpenShift集群管理器
- 集群管理
- 安全和合规性
- 身份验证和授权
- 升级
- CI/CD
- 镜像
- 附加服务
- 存储
- 注册表
- Operators
- Operators概述
- 了解Operators
- 用户任务
- 管理员任务
- 开发 Operators
- 网络
- 构建应用程序
- 备份和恢复
- 节点
- 可观测性
- 服务网格
- 无服务器
- 虚拟化
×
配置证书轮换
配置证书轮换参数以替换现有证书。
配置证书轮换
您可以在 OpenShift Virtualization 安装期间在 Web 控制台中进行此操作,或者在安装后在HyperConverged自定义资源 (CR) 中进行此操作。
步骤
-
运行以下命令打开
HyperConvergedCR -
按以下示例所示编辑
spec.certConfig字段。为避免系统过载,请确保所有值都大于或等于 10 分钟。所有值都应表达为符合golangParseDuration格式的字符串。apiVersion: hco.kubevirt.io/v1beta1 kind: HyperConverged metadata: name: kubevirt-hyperconverged namespace: openshift-cnv spec: certConfig: ca: duration: 48h0m0s renewBefore: 24h0m0s (1) server: duration: 24h0m0s (2) renewBefore: 12h0m0s (3)1 ca.renewBefore的值必须小于或等于ca.duration的值。2 server.duration的值必须小于或等于ca.duration的值。3 server.renewBefore的值必须小于或等于server.duration的值。 -
将 YAML 文件应用到您的集群。
证书轮换参数故障排除
删除一个或多个certConfig值会导致它们恢复为默认值,除非默认值与以下条件之一冲突
-
ca.renewBefore的值必须小于或等于ca.duration的值。 -
server.duration的值必须小于或等于ca.duration的值。 -
server.renewBefore的值必须小于或等于server.duration的值。
如果默认值与这些条件冲突,您将收到错误消息。
如果您在以下示例中删除server.duration值,则默认值24h0m0s将大于ca.duration的值,这与指定的条件冲突。
示例
certConfig:
ca:
duration: 4h0m0s
renewBefore: 1h0m0s
server:
duration: 4h0m0s
renewBefore: 4h0m0s这将导致以下错误消息
error: hyperconvergeds.hco.kubevirt.io "kubevirt-hyperconverged" could not be patched: admission webhook "validate-hco.kubevirt.io" denied the request: spec.certConfig: ca.duration is smaller than server.duration错误消息只提到了第一个冲突。在继续操作之前,请检查所有 certConfig 值。