最近在和国外的同事工作中,碰到了一个新的部署新词语:Dummy cert (虚拟证书)
先看下dummy单词的英文解释:
dummy
英 [ˈdʌmi] 美 [ˈdʌmi]
n.
笨蛋;(尤指缝制或陈列服装用的)人体模型;仿制品;仿造物;蠢货;假传球;橡皮奶嘴;明手牌
adj.
假的
v.
做假动作
一、经过推敲和咨询,原来这个是用于以下的IT场景:
1. 环境中目前服务通信或者部署用到的证书多;
2. 环境证书变更频繁;
3. 服务命名变更频繁,在配置SSL证书的配置文件中变更频繁。
二、dummy cert (虚拟证书)是如何使用的?
1. 申请生成新的证书后,放在生成环境中的特定存储中;比如Azure的AKV中;
2. 每个服务可以生成自己的特定服务绑定的证书链接,一个互联网blob URL。(我认为是一个指向第一步的证书的一个共享链接),每个服务的共享链接值是不同的,也可以在各自的服务配置文件中定义不同的名字。但是它们都是指向的一个证书源,共享使用的同一个证书指纹。
三、有什么优势?
1. 针对相关联调用的服务,使用同一张证书,可以减少CICD对服务的SLA的影响;
2. 一次renew,同一更新;
3. 方便部署,因为不涉及在每个服务进行证书各项属性的配置;
4. 共享链接是每个服务独有的,服务直接调用证书不影响各自的服务;
5. 证书的renew lifecycle 期间,可以再设置staging 和production的测试缓冲期,对服务的上线和版本切换双重保证。
四、总结
1. 安全稳定的线上服务版本更新;
2. 规范运维操作流程,减少生产事故;
3. 简化证书维护和变更操作,降低证书更新的风险。