3.5. ブートストラップ証明書

3.5.1. 目的

OpenShift Container Platform 4 以降では、kubelet は /etc/kubernetes/kubeconfig にあるブートストラップ証明書を使用して初回のブートストラップを実行します。その次に、ブートストラップの初期化プロセスおよび CSR を作成するための kubelet の認証に進みます。

このプロセスでは、kubelet はブートストラップチャネル上での通信中に CSR を生成します。コントローラーマネージャーは CSR に署名すると、kubelet が管理する証明書が作成されます。

3.5.2. 管理

これらの証明書は、ユーザーではなく、システムによって管理されます。

3.5.3. 有効期限

このブートストラップ CA は 10 年間有効です。

kubelet が管理する証明書は 1 年間有効であり、その 1 年の約 80 パーセントマークで自動的にローテーションします。

3.5.4. カスタマイズ

ブートストラップ証明書をカスタマイズすることはできません。