坐标轮换法_深入了解Istio 1.6证书轮换

本文主要是介绍坐标轮换法_深入了解Istio 1.6证书轮换，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

坐标轮换法

Istio是基于Envoy Proxy构建的功能强大的服务网格，可解决连接部署在云基础架构(例如Kubernetes )中的服务的问题，并以安全，有弹性和可观察的方式进行连接。 Istio的控制平面可用于指定声明性策略，例如有关断路，流量路由，身份验证/授权等的策略。等

Istio提供的一项重要功能是工作负载标识。使用工作负载身份，我们可以将身份编码为可验证的文档，并围绕该身份实施身份验证和授权策略。 Istio使用x509证书和SPIFFE来实现身份，并使用此机制来完成两个重要的安全实践：实现身份验证和加密传输(TLS / mTLS)。有了这些基础部分，我们就可以确保服务之间的所有流量的安全。

了解Istio的CA行为

在此博客(和随附的视频)中，我们介绍了一些典型的用例以及一些有用的实践，用于处理诸如证书颁发机构根证书，中间件以及根据需要循环使用这些各种证书。 Istio在其控制平面组件istiod实现了CA功能。该组件负责引导CA，为可以接受证书签名请求(CSR)的gRPC端点提供服务，并处理对新证书或轮换证书的请求的签名。

在客户端， istio-proxy的服务(即与工作负载一起作为边车运行)负责创建工作负载证书并使用istiod启动CSR流程。默认的工作负载证书有效期为24小时。可以在工作负载/客户端使用环境变量SECRET_TTL 。例如，要在较短的时间内颁发证书，可以将SECRET_TTL环境变量设置为12h0m0s 。

自举签名证书到Istio的CA

开箱即用，Istio的CA将自动在引导程序上创建有效期10年的签名密钥/证书。然后，通过签署工作负载CSR并将根证书建立为受信任的CA，此“根”密钥将用于在系统中锚定所有信任。当Istiod启动时，您可以通过检查日志来查看它创建的根证书。您应该会看到以下内容：

 2020 - 07 -14T13: 20 : 19 .133413Z    info   Use self-signed certificate as the CA certificate2020 - 07 -14T13: 20 : 19 .186407Z    info   pkica  Load signing key and cert from existing secret istio-system:istio-ca-secret2020 - 07 -14T13: 20 : 19 .187275Z    info   pkica  Using existing public key: -----BEGIN CERTIFICATE-----You should see Certificate here-----END CERTIFICATE-----2020 - 07 -14T13: 20 : 19 .284857Z    info   pkica  The Citadel's public key is successfully written into configmap istio-security in namespace istio-system.

如果您只是在探索Istio，则此默认根CA应该足够了。如果要设置实时系统，则可能不应使用内置的自签名根目录。实际上，您可能已经在组织中拥有PKI，并且能够引入可用于Istio工作负载签名的中间证书。这些中间体由您现有的受信任根签名。

您可以按照Istio文档插入自己的cacerts机密。

签署证书轮换

在这里事情可能会有些棘手。工作负载必须信任证书链的根，才能使任何Istio mTLS / Authentication / Identity属性起作用。因此，在计划PKI时，应考虑适当的过程来轮换Istio用于颁发工作负载证书的任何签名证书。在接下来的简短视频(每个视频约500万个)系列中，我们将逐步介绍Istio CA的旋转签名证书，以便在引入新的受信任根时最大程度地减少停机时间。