証明書のローテーション

SUSE Security Admission Controller v1.17.0では、cert-managerの依存関係が削除されました。コントローラーは、すべてのコンポーネントで使用されるすべての証明書を管理することができます。現在、コントローラーには、証明書が常に最新であり、Webhookの設定が正しいことを保証する新しいリコンシリエーションループがあります。

Helmチャートのインストールは、最初の証明書生成を行います。それは、10年の有効期限を持つルートCAを生成します。Helmチャートのインストールは、ルートCAによって署名されたコントローラーWebhookウェブサーバー証明書も生成します。APIサーバーは、CRDを検証するためにAdmission Controllerコントローラーと通信するためにこれを使用します。それは1年の有効期限があります。

コントローラーが起動すると、そのリコンシリエーターは、証明書が期限切れになりそうなときに自動的に更新します。それはまた、Admission Controllerスタック全体で使用されるすべての証明書とWebhookの設定を更新します。

リコンシリエーションループは、有効期限の60日前に証明書を更新します。 証明書はダウンタイムなしでローテーションします。リコンシリエーションループは、ルートCAの更新も担当します。

コントローラーは、有効期限の60日前に新しいルートCAを生成します。コントローラーは、すべてのWebhookで使用されるCAバンドルを更新し、新しいルートCAと古いルートCAの両方を含めます。

ルートCAの変更により、リコンシリエーターはウェブフックに発行された証明書を再作成します。新しい証明書の反映には一定の時間が必要です。しかし、この期間中、更新されたCAバンドルによりAPIサーバーはすべてのウェブフックとダウンタイムなしで引き続き通信できます。

新しい証明書が準備され、古い証明書が無効になると、コントローラーはウェブフックで使用されるCAバンドルを更新し、最新のルートCAのみを含めます。

ポリシーサーバーまたはコントローラーのウェブサーバー証明書が更新されると、コントローラーはルートCAによって署名された新しい証明書でシークレットを更新します。このリロード機能により、コントローラーとポリシーサーバーはプロセスを再起動する必要なく新しい証明書を使用できるため、ダウンタイムは発生しません。