使用ASM证书管理

ASM证书管理可以在网格内进行统一的证书同步,能够更好地支持ASM的多集群场景,还提供了证书信息展示和过期告警等功能,方便您进行证书维护。本文介绍如何使用ASM证书管理功能。

前提条件

步骤一:准备服务器证书和私钥

  1. 执行以下命令,创建根证书和私钥。

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=myexample Inc./CN=aliyun.com' -keyout aliyun.root.key -out aliyun.root.crt 
  2. 执行以下命令,为aliyun.com服务器生成证书和私钥,有效期为365天。

    openssl req -out aliyun.com.csr -newkey rsa:2048 -nodes -keyout aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"
    openssl x509 -req -days 365 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in aliyun.com.csr -out aliyun.com.crt
  3. 执行以下命令,为aliyun.com服务器生成一个即将过期的证书和私钥,有效期为1天。

    此处创建有效期为1天的证书是为了测试ASM的证书过期告警功能。

    openssl req -out expiring.aliyun.com.csr -newkey rsa:2048 -nodes -keyout expiring.aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"
    openssl x509 -req -days 1 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in expiring.aliyun.com.csr -out expiring.aliyun.com.crt

(可选)步骤二:开启控制平面日志采集和证书告警

您可以根据实际情况,开启控制平面日志采集、证书过期告警和证书即将过期告警。如果您的证书有效期不足30天,ASM会认为您的证书即将过期。

控制面日志告警设置.png

步骤三:在证书管理页面创建证书

  1. 创建一个正常的证书。

    1. 登录ASM控制台,在左侧导航栏,选择服务网格 > 网格管理

    2. 网格管理页面,单击目标实例名称,然后在左侧导航栏,选择ASM网关 > 证书管理

    3. 证书管理页面,单击创建,然后在证书信息面板,配置相关信息,单击确定

      配置项

      说明

      名称

      自定义证书的名称。

      命名空间

      默认为istio-system。

      公钥证书

      步骤一第2步生成的aliyun.com.crt文件内容。

      私钥

      步骤一第2步生成的aliyun.com.key文件内容。

      是否启用mTLS

      若您需要创建mTLS通信使用的证书,请打开开关,然后将CA证书的文件内容粘贴至CA证书文本框。

  2. 参照步骤1,创建一个即将过期的证书。

    公钥证书私钥请分别使用步骤一第3步生成的expiring.aliyun.com.crtexpiring.aliyun.com.key文件内容。证书创建完成后,您可以在证书管理页面看到新创建的两个证书。您可以在操作列,单击详情查看证书的详细信息,也可以单击编辑修改证书内容。证书创建成功.png

  3. (可选)查看证书的告警日志。

    ASM实例为1.17.2.35以下

    1. 登录ASM控制台,在左侧导航栏,选择服务网格 > 网格管理

    2. 网格管理页面,单击目标实例名称,然后在左侧导航栏,选择网格实例 > 基本信息

    3. 配置信息区域的控制面日志采集右侧,单击查看日志,然后在左侧日志库,单击internal-alert-history,在右侧的internal-alert-history页面搜索证书,查看证书的告警日志查看证书日志.png

    ASM实例为1.17.2.35及以上

    1. 登录ASM控制台,在左侧导航栏,选择服务网格 > 网格管理

    2. 网格管理页面,单击目标实例名称,然后在左侧导航栏,选择可观测管理中心 > 日志中心

    3. 日志中心页面,单击控制平面日志页签,在文本框内输入证书,单击查询/分析,查看证书的告警日志

    说明

    证书过期告警的检查间隔为6小时。如果您当前没有告警日志,请于6小时后进行查看。

  4. 引用证书管理中的证书。

    证书管理页面创建证书之后,您可以在以下三处直接引用证书。

步骤四:证书迁移

ASM从1.17版本起,开始支持在ASM网关 > 证书管理对证书进行管理。如果您已在网关概览的域名/证书页面创建了证书,请及时迁移至证书管理页面。

您可以直接在证书管理页面,创建同名证书,将原有证书的相关信息进行粘贴,之后证书管理页面会接管原有证书。