↑ 点击上方“大魏分享”关注我

阅读提示｜本文大概1400字   阅读需要20分钟

延长集群核心证书的有效期

OpenShift集群正常运行中涉及到非常多的证书，有各节点通信的证书，有数据库的证书，有私有镜像仓库的证书，还有各种组件的证书（EFK、ClusterMonitor、Metrics等）。对于集群的相关证书可以通过在inventory文件中添加如下配置就可以非常方便地更改相关证书的默认有效期。

openshift_hosted_registry_cert_expire_days=3650

但是以上的几个配置对于一些组件并不起作用，如EFK等。

openshift自签应用证书的有效期为2 or 5年。其中crt证书默认为两年，ca证书为5年。例如es中的证书中，admin-ca有效期为5年，admin-crt有效期为2年。

也就是说按照当前OpenShift安装的默认步骤安装的EFK组件，证书最短有效期为两年，两年后需要执行证书更新操作。而ES证书更新时，需要对ES应用进行重启，这将会影响到ES的可用性。那么如果我们希望在在安装部署EFK组件的时候，将证书设置为更长的时间的话，就不需要进行证书的更新，也就不会影响到ES的服务了。那么怎样做到这一点呢？

带着这个问题，仔细研究了OpenShift部署的脚本，发现要实现这点并不困难，只需要将生成证书的地方添加过期时间就ok了。

与相关证书有效期有关的地方有如下四类：

1. 使用create-signer-cert命令创建的证书

以ES服务为例，admin-ca证书的有效期时间默认为5年，将roles/openshift_logging/tasks/generate_certs.yaml中的oc adm ca create-signer-cert命令添加过期时间--expire-days=36500，例如

{{ openshift_client_binary }} adm --config={{ mktemp.stdout }}/admin.kubeconfig ca create-signer-cert

2. 使用keytool创建的证书

以ES服务为例，admin-crt有效期时间默认为2年。将roles/openshift_logging/files/generate-jks.sh脚本中的默认过期时间设置-validity设置为36500（一百年）即可，例如

keytool -genkey \

3. 使用create-server-cert命令创建的证书

oc adm ca create-server-cert命令创建的证书的过期时间为2年，所以对于这些命令生成的证书脚本也需要设置过期时间--expire-days=36500,例如metrics_server/tasks/generate_certs_and_apiservice.yaml文件中：

- name: generate new serving cert secrets if needed

4. 使用oc adm ca create-master-certs创建的证书

oc adm ca证书创建相关的命令还有create-master-certs，通过它能够创建master的证书，OpenShift已经提供了相关的配置ansible/hosts中添加变量：openshift_master_cert_expire_days与openshift_ca_cert_expire_days来设置证书的过期时间，不需要更改playbook脚本与shell脚本。

本文分享自微信公众号 - 大魏分享（david-share）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。