5.5. TLS 証明書の期間の設定

Service Telemetry Framework (STF) で Elasticsearch および AMQ Interconnect との接続に使用する TLS 証明書の期間を設定するには、ServiceTelemetry オブジェクトを変更し、certificates パラメーターを設定します。

5.5.1. TLS 証明書の設定パラメーター

証明書の有効期間は、certificates パラメーターの次のサブパラメーターで設定できます。

endpointCertDuration
エンドポイント証明書の要求された 期間 または有効期間。最小許容期間は 1 時間です。値は Go time.ParseDuration https://golang.org/pkg/time/#ParseDuration で受け入れられる単位である必要があります。デフォルト値は 70080h です。
caCertDuration
CA 証明書の要求された 期間 または有効期間。最小許容期間は 1 時間です。値は Go time.ParseDuration https://golang.org/pkg/time/#ParseDuration で受け入れられる単位である必要があります。デフォルト値は 70080h です。
注記
証明書のデフォルトの期間は長くなります。これは、通常、証明書が更新されるときに Red Hat OpenStack Platform デプロイメントに証明書のサブセットをコピーするためです。QDR CA 証明書の更新プロセスの詳細は、6章AMQ Interconnect 証明書の更新 を参照してください。

Elasticsearch の certificates パラメーターは backends.events.elasticsearch 定義の一部であり、ServiceTelemetry オブジェクトで設定されます。

apiVersion: infra.watch/v1beta1
kind: ServiceTelemetry
metadata:
  name: default
  namespace: service-telemetry
spec:
...
  backends:
    ...
    events:
      elasticsearch:
        enabled: true
        version: 7.16.1
        certificates:
          endpointCertDuration: 70080h
          caCertDuration: 70080h
...

ServiceTelemetry オブジェクトの Transports.qdr 定義の一部である QDR の certificates パラメーターを設定できます。

apiVersion: infra.watch/v1beta1
kind: ServiceTelemetry
metadata:
  name: default
  namespace: service-telemetry
spec:
...
  transports:
    ...
    qdr:
      enabled: true
      certificates:
        endpointCertDuration: 70080h
        caCertDuration: 70080h
...

5.5.2. TLS 証明書の有効期間の設定

Service Telemetry Framework (STF) で使用する TLS 証明書の期間を設定するには、ServiceTelemetry オブジェクトを変更し、certificates パラメーターを設定します。

前提条件

  • Service Telemetry Operator のインスタンスをまだデプロイしていません。

    注記
    ServiceTelemetry オブジェクトを作成すると、STF に必要な証明書とそのシークレットも作成されます。証明書とシークレットを変更する方法の詳細は、次を参照してください。6章AMQ Interconnect 証明書の更新次の手順は、新しい STF デプロイメントに有効です。

手順

TLS 証明書の期間を編集するには、Elasticsearch endpointCertDuration を設定 (3 年であれば 26280h)、QDR caCertDuration を設定 (10 年であれば 87600h) を設定できます。Elasticsearch の CA 証明書とエンドポイント証明書にはデフォルト値の 8 年を使用できます。

+

$ oc apply -f - <<EOF
apiVersion: infra.watch/v1beta1
kind: ServiceTelemetry
metadata:
  name: default
  namespace: service-telemetry
spec:
  backends:
    events:
      elasticsearch:
        enabled: true
        certificates:
          endpointCertDuration: 26280h
  transport:
    qdr:
      enabled: true
      certificates:
        caCertDuration: 87600h
EOF

検証

  1. 証明書の有効期限が正しいことを確認します。

    $ oc get secret elasticsearch-es-cert -o jsonpath='{.data.tls\.crt}' | base64 -d  | openssl x509 -in - -text | grep "Not After"
                Not After : Mar  9 21:00:16 2026 GMT
    
    $ oc get secret  default-interconnect-selfsigned -o jsonpath='{.data.tls\.crt}' | base64 -d  | openssl x509 -in - -text | grep "Not After"
                Not After : Mar  9 21:00:16 2033 GMT