坐标轮换法_深入了解Istio 1.6证书轮换

坐标轮换法

坐标轮换法

Istio是基于Envoy Proxy构建的功能强大的服务网格,可解决连接部署在云基础架构(例如Kubernetes )中的服务的问题,并以安全,有弹性和可观察的方式进行连接。 Istio的控制平面可用于指定声明性策略,例如有关断路,流量路由,身份验证/授权等的策略。 等

Istio提供的一项重要功能是工作负载标识。 使用工作负载身份,我们可以将身份编码为可验证的文档,并围绕该身份实施身份验证和授权策略。 Istio使用x509证书和SPIFFE来实现身份,并使用此机制来完成两个重要的安全实践:实现身份验证和加密传输(TLS / mTLS)。 有了这些基础部分,我们就可以确保服务之间的所有流量的安全。

了解Istio的CA行为

在此博客(和随附的视频)中,我们介绍了一些典型的用例以及一些有用的实践,用于处理诸如证书颁发机构根证书,中间件以及根据需要循环使用这些各种证书。 Istio在其控制平面组件istiod实现了CA功能。 该组件负责引导CA,为可以接受证书签名请求(CSR)的gRPC端点提供服务,并处理对新证书或轮换证书的请求的签名。

在客户端, istio-proxy的服务(即与工作负载一起作为边车运行)负责创建工作负载证书并使用istiod启动CSR流程。 默认的工作负载证书有效期为24小时。 可以在工作负载/客户端使用环境变量SECRET_TTL 。 例如,要在较短的时间内颁发证书,可以将SECRET_TTL环境变量设置为12h0m0s

自举签名证书到Istio的CA

开箱即用,Istio的CA将自动在引导程序上创建有效期10年的签名密钥/证书。 然后,通过签署工作负载CSR并将根证书建立为受信任的CA,此“根”密钥将用于在系统中锚定所有信任。 当Istiod启动时,您可以通过检查日志来查看它创建的根证书。 您应该会看到以下内容:

 2020 - 07 -14T13: 20 : 19 .133413Z    info   Use self-signed certificate as the CA certificate
 2020 - 07 -14T13: 20 : 19 .186407Z    info   pkica  Load signing key and cert from existing secret istio-system:istio-ca-secret
 2020 - 07 -14T13: 20 : 19 .187275Z    info   pkica  Using existing public key: -----BEGIN CERTIFICATE-----
 You should see Certificate here
 -----END CERTIFICATE-----
                                                                                                                                                             2020 - 07 -14T13: 20 : 19 .284857Z    info   pkica  The Citadel's public key is successfully written into configmap istio-security in namespace istio-system.

如果您只是在探索Istio,则此默认根CA应该足够了。 如果要设置实时系统,则可能不应使用内置的自签名根目录。 实际上,您可能已经在组织中拥有PKI,并且能够引入可用于Istio工作负载签名的中间证书。 这些中间体由您现有的受信任根签名。

您可以按照Istio文档插入自己的cacerts机密。

签署证书轮换

在这里事情可能会有些棘手。 工作负载必须信任证书链的根,才能使任何Istio mTLS / Authentication / Identity属性起作用。 因此,在计划PKI时,应考虑适当的过程来轮换Istio用于颁发工作负载证书的任何签名证书。 在接下来的简短视频(每个视频约500万个)系列中,我们将逐步介绍Istio CA的旋转签名证书,以便在引入新的受信任根时最大程度地减少停机时间。

设置上下文:了解Istio的根CA

在此视频中,我们将介绍引导Istio的签名CA的基础知识(如上所述)。 该视频设置了其余视频的上下文。

插入自己的签名证书

在此视频中,我们看到了如果从Istio的默认设置(即装即用的CA)转到我们自己的具有不同根目录的CA,会发生什么情况。 注意我们如何打破mTLS并信任系统:

轮换中间证书(相同根)

在此视频中,我们使用具有组织信任根的我们自己的证书,并且希望颁发并轮换Istio CA用于签署工作负载的中间证书,让我们看看这样做时会发生什么:

建立多个根的信任(临时)

在此视频中,我们展示了Istio如何在一段时间内可以信任多个根证书,以启用具有新根的签名证书的旋转(即,当我们需要旋转根CA时):

轮换中间证书(不同根)

在最后一个视频中,我们介绍了具有不同/新根的新签名证书。 让我们看看在这种情况下Istio的行为:

从这往哪儿走

Istio强大的CA功能可实现服务之间的强大安全性。 在部署和操作此基础结构时需要一些计划和思想。 希望本文能给您一些思考的东西。 如果您对此博客有任何疑问,请随时与我联系( @christianposta ),或加入Istio社区!


翻译自: https://www.javacodegeeks.com/2020/07/diving-into-istio-1-6-certificate-rotation.html

坐标轮换法

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值