ASM证书管理可以在网格内进行统一的证书同步,能够更好地支持ASM的多集群场景,还提供了证书信息展示和过期告警等功能,方便您进行证书维护。本文介绍如何使用ASM证书管理功能。
前提条件
已添加集群到ASM实例,且实例版本为1.17及以上。
步骤一:准备服务器证书和私钥
执行以下命令,创建根证书和私钥。
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=myexample Inc./CN=aliyun.com' -keyout aliyun.root.key -out aliyun.root.crt
执行以下命令,为aliyun.com服务器生成证书和私钥,有效期为365天。
openssl req -out aliyun.com.csr -newkey rsa:2048 -nodes -keyout aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization" openssl x509 -req -days 365 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in aliyun.com.csr -out aliyun.com.crt
执行以下命令,为aliyun.com服务器生成一个即将过期的证书和私钥,有效期为1天。
此处创建有效期为1天的证书是为了测试ASM的证书过期告警功能。
openssl req -out expiring.aliyun.com.csr -newkey rsa:2048 -nodes -keyout expiring.aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization" openssl x509 -req -days 1 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in expiring.aliyun.com.csr -out expiring.aliyun.com.crt
(可选)步骤二:开启控制平面日志采集和证书告警
您可以根据实际情况,开启控制平面日志采集、证书过期告警和证书即将过期告警。如果您的证书有效期不足30天,ASM会认为您的证书即将过期。
ASM实例为1.17.2.35以下,请参见启用控制平面日志采集和日志告警(旧版)。
ASM实例为1.17.2.35及以上,请参见启用控制平面日志采集和日志告警(新版)。
步骤三:在证书管理页面创建证书
创建一个正常的证书。
参照步骤1,创建一个即将过期的证书。
公钥证书和私钥请分别使用步骤一第3步生成的
expiring.aliyun.com.crt
和expiring.aliyun.com.key
文件内容。证书创建完成后,您可以在证书管理页面看到新创建的两个证书。您可以在操作列,单击详情查看证书的详细信息,也可以单击编辑修改证书内容。(可选)查看证书的告警日志。
ASM实例为1.17.2.35以下
登录ASM控制台,在左侧导航栏,选择 。
在网格管理页面,单击目标实例名称,然后在左侧导航栏,选择 。
在配置信息区域的控制面日志采集右侧,单击查看日志,然后在左侧日志库,单击internal-alert-history,在右侧的internal-alert-history页面搜索证书,查看证书的告警日志。
ASM实例为1.17.2.35及以上
登录ASM控制台,在左侧导航栏,选择 。
在网格管理页面,单击目标实例名称,然后在左侧导航栏,选择 。
在日志中心页面,单击控制平面日志页签,在文本框内输入证书,单击查询/分析,查看证书的告警日志。
说明证书过期告警的检查间隔为6小时。如果您当前没有告警日志,请于6小时后进行查看。
引用证书管理中的证书。
在证书管理页面创建证书之后,您可以在以下三处直接引用证书。
使用YAML创建或修改网关规则时,如果需要配置TLS证书,您可以直接在
credentialName
中填写证书管理中的名称。更多信息,请参见管理网关规则和网关规则(Gateway)CRD说明。使用ASM提供的图形化界面创建网关规则时,您可以直接在界面上选择证书管理中的证书。更多信息,请参见管理网关规则和网关规则(Gateway)CRD说明。
在网关概览的域名/证书页面创建域名时,若需要进行TLS配置,可以直接引用证书管理中的证书。更多信息,请参见为域名添加证书。
步骤四:证书迁移
ASM从1.17版本起,开始支持在ASM网关 > 证书管理对证书进行管理。如果您已在网关概览的域名/证书页面创建了证书,请及时迁移至证书管理页面。
您可以直接在证书管理页面,创建同名证书,将原有证书的相关信息进行粘贴,之后证书管理页面会接管原有证书。