Fitur manajemen sertifikat ASM menyinkronkan sertifikat di seluruh kluster dalam sebuah mesh—pendekatan ideal untuk skenario multi-kluster—dan menyederhanakan pemeliharaan sertifikat dengan menampilkan informasi serta peringatan kedaluwarsa. Topik ini menjelaskan cara menggunakan fitur manajemen sertifikat di ASM.
Prasyarat
-
Anda telah menambahkan kluster ke instans ASM, dan versi instans tersebut adalah 1.17 atau lebih baru.
Langkah 1: Siapkan sertifikat server dan kunci privat
-
Jalankan perintah berikut untuk membuat sertifikat root dan kunci privat.
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=myexample Inc./CN=aliyun.com' -keyout aliyun.root.key -out aliyun.root.crt -
Jalankan perintah berikut untuk menghasilkan sertifikat dan kunci privat untuk server
aliyun.com. Sertifikat ini berlaku selama 365 hari.openssl req -out aliyun.com.csr -newkey rsa:2048 -nodes -keyout aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization" openssl x509 -req -days 365 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in aliyun.com.csr -out aliyun.com.crt -
Jalankan perintah berikut untuk menghasilkan sertifikat yang segera kedaluwarsa dan kunci privat untuk server
aliyun.com. Sertifikat ini berlaku hanya satu hari.Sertifikat satu hari ini digunakan untuk menguji fitur peringatan kedaluwarsa sertifikat ASM.
openssl req -out expiring.aliyun.com.csr -newkey rsa:2048 -nodes -keyout expiring.aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization" openssl x509 -req -days 1 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in expiring.aliyun.com.csr -out expiring.aliyun.com.crt
(Opsional) Langkah 2: Aktifkan pengumpulan log control-plane dan peringatan sertifikat
Anda dapat mengaktifkan pengumpulan log control-plane serta menyiapkan peringatan untuk sertifikat yang telah kedaluwarsa maupun yang akan segera kedaluwarsa. ASM menganggap sertifikat "akan segera kedaluwarsa" jika periode validitasnya kurang dari 30 hari.
-
Untuk instans ASM versi sebelum 1.17.2.35, lihat Aktifkan pengumpulan log control-plane dan peringatan berbasis log (untuk versi lama).
-
Untuk instans ASM versi 1.17.2.35 atau lebih baru, lihat Aktifkan pengumpulan log control-plane dan peringatan berbasis log (untuk versi baru).
Pada halaman Control-plane Log Alert Settings, temukan kebijakan peringatan terkait sertifikat (Expired certificate exists in certificate management dan Certificate that is about to expire exists in certificate management), klik Enable Alert di sebelah kanan setiap kebijakan, lalu pilih Service Mesh ASM Built-in Action Policy (Recommended).
Langkah 3: Buat sertifikat
-
Buat sertifikat standar.
-
Masuk ke Konsol ASM. Di panel navigasi kiri, pilih .
-
Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih .
-
Pada halaman Certificate Management, klik Create. Pada panel Certificate Information, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Name
Nama kustom untuk sertifikat.
Namespaces
Bawaan:
istio-system.Public Key Certificate
Konten file
aliyun.com.crtyang dihasilkan pada Langkah 2 di Langkah 1.Private Key
Konten file
aliyun.com.keyyang dihasilkan pada Langkah 2 di Langkah 1.Enable mTLS
Untuk komunikasi mTLS, aktifkan opsi ini dan masukkan konten sertifikat CA Anda di kotak teks CA Certificate.
-
-
Lihat Langkah 1 dan buat sertifikat yang akan segera kedaluwarsa.
Untuk Public Key Certificate dan Private Key, gunakan konten dari file
expiring.aliyun.com.crtdanexpiring.aliyun.com.keyyang dihasilkan pada Langkah 3 di Langkah 1, secara berurutan. Setelah sertifikat dibuat, halaman Certificate Management menampilkan dua catatan sertifikat baru: expiring-cert dengan status Normal dan test-cert dengan status Expiring soon. Nama domain untuk kedua sertifikat tersebut adalahaliyun.com, dan jenisnya adalah TLS. Di kolom Operation, Anda dapat mengklik Details untuk melihat detail sertifikat atau mengklik Edit untuk mengubah kontennya. -
(Opsional) Lihat log peringatan sertifikat.
Sebelum versi 1.17.2.35
-
Masuk ke Konsol ASM. Di panel navigasi kiri, pilih .
-
Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih .
-
Di bagian Config Info, di sebelah kanan Control-plane log collection, klik View log. Di daftar Logstores di sebelah kiri, klik internal-alert-history. Pada halaman internal-alert-history, cari log peringatan certificate dengan memasukkan kata kunci
certificate, memilih rentang waktu 30 Days (Relative), lalu mengklik Query/Analyze. Hasil kueri menunjukkan total 28 log peringatan, termasuk catatan peringatan dengan AlertDisplayName berupa "certificate about to expire".
Versi 1.17.2.35 dan lebih baru
-
Masuk ke Konsol ASM. Di panel navigasi kiri, pilih .
-
Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih .
-
Pada halaman Log Center, klik tab Control-Plane Logs. Masukkan Certificate di kotak pencarian dan klik Query/Analysis untuk melihat log peringatan.
CatatanASM memeriksa peringatan kedaluwarsa sertifikat setiap 6 jam. Jika tidak ada log peringatan yang muncul, tunggu 6 jam lalu periksa kembali.
-
-
Gunakan sertifikat dari manajemen sertifikat.
Setelah Anda membuat sertifikat pada halaman Certificate Management, Anda dapat mereferensikannya langsung dalam skenario berikut:
-
Saat membuat atau mengubah resource Gateway menggunakan YAML, Anda dapat mengatur bidang
credentialNameke nama sertifikat untuk mengonfigurasi TLS. Untuk informasi lebih lanjut, lihat Manage a Gateway. -
Saat membuat resource Gateway menggunakan antarmuka GUI di Konsol ASM, Anda dapat memilih sertifikat dari Certificate Management. Untuk informasi lebih lanjut, lihat Manage a Gateway.
-
Saat membuat domain pada halaman Domain/Certificate di ikhtisar gateway, Anda dapat langsung mereferensikan sertifikat dari Certificate Management untuk konfigurasi TLS. Untuk informasi lebih lanjut, lihat Add a Certificate for a Domain.
-
Langkah 4: Migrasi sertifikat
Mulai dari versi 1.17, ASM mendukung manajemen sertifikat pada halaman ASM Gateway > Certificate Management. Jika Anda telah membuat sertifikat pada halaman Domain/Certificate di ikhtisar gateway, migrasikan sertifikat tersebut ke halaman Certificate Management.
Pada halaman Certificate Management, buat sertifikat dengan nama yang sama dan tempel informasi dari sertifikat aslinya. Tindakan ini memindahkan pengelolaan sertifikat ke halaman Certificate Management.