ルート証明書のローテーション

TimesTenオペレータでは、ルート証明書のローテーションが可能です。

この例では、新しいルート証明書、新しい中間証明書および新しいルート証明書を作成するとします。

1. 新しいサーバー証明書、新しい中間証明書および新しいルートCAを連結して、完全な証明書チェーンを作成します。

   cat new_server.pem new_intermediate.pem new_root.pem > completeServer.pem

2. 証明書をサーバーの秘密キーと組み合せて、パスワードで保護されたPKCS#12ファイルを作成します。

   openssl pkcs12 -export -in completeServer.pem -inkey privkey.pem -out server.p12 -passout pass:welcome1

3. Kubernetesシークレットを更新します。このシークレットはネームスペースにすでに存在します。「クライアント/サーバーTLS暗号化用のCA署名証明書のインポート」を参照してください。

   kubectl create secret generic tt-server-pfx-secret --from-file=server.p12 --dry-run=client -o yaml | kubectl apply -f -

TimesTenオペレータは、Kubernetesシークレットが変更されたことを認識し、サーバー証明書をローテーションするための適切なアクションを実行します。