日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティ証明書を管理する

寄稿者

Astraデータストアでは、クラスタのソフトウェアコンポーネント間でMTLS(Mutual Transport Layer Security)暗号化を使用しています。各Astra Data Storeクラスタには、自己署名ルートCA証明書(「astrs-cert-root」)と中間CA証明書(「astrs-cert-<cluster_name>」)があります。この証明書はAstra Data Storeオペレータによって管理され、有効期限の7日前にオペレータが証明書を自動的に更新します。証明書を手動で取り消すこともできます。

証明書を取り消します

Astraデータストアコントローラ、ノード、またはCA証明書が侵害された場合、MTLSシークレットを削除することでCA証明書を取り消すことができます。これを行うと、Astra Data Storeオペレータは自動的に新しい証明書を発行します。Astraデータストア証明書はいつでも取り消すことができます。

注記 CA証明書を取り消すと、そのCAによって署名された証明書がすべて取り消されます。
手順
  1. Astra Data Storeクラスタのコントローラノードにログインします。

  2. システム上の既存の証明書の一覧を表示します。例:

    kubectl get secrets -n astrads-system | grep astrads-cert

    次のような出力が表示されます。

    astrads-cert-astrads-cluster-controller                   kubernetes.io/tls     4      6d6h
    astrads-cert-astrads-cluster-f23d158                      kubernetes.io/tls     4      6d6h
    astrads-cert-astrads-ds-dms-astrads-cluster-f23d158       kubernetes.io/tls     4      6d6h
    astrads-cert-astrads-ds-support-astrads-cluster-f23d158   kubernetes.io/tls     4      6d6h
    astrads-cert-astrads-support-astrads-cluster-f23d158      kubernetes.io/tls     4      6d6h
    astrads-cert-root                                         kubernetes.io/tls     4      6d6h
    astrads-cert-sti-net-com                                  kubernetes.io/tls     5      6d6h
  3. 出力には、取り消す必要がある証明書の名前が表示されます。

  4. 'kubectl’ユーティリティを使用して’証明書を取り消しますこれは’certificate_name’を証明書の名前に置き換えます例:

    kubectl delete secret CERTIFICATE_NAME -n astrads-system

既存の証明書が失効し、代わりに新しい証明書が自動的に生成されます。