5.5. TLS 証明書の期間の設定
Service Telemetry Framework (STF) で Elasticsearch および AMQ Interconnect との接続に使用する TLS 証明書の期間を設定するには、ServiceTelemetry オブジェクトを変更し、certificates パラメーターを設定します。
5.5.1. TLS 証明書の設定パラメーター
証明書の有効期間は、certificates パラメーターの次のサブパラメーターで設定できます。
- endpointCertDuration
-
エンドポイント証明書の要求された 期間 または有効期間。最小許容期間は 1 時間です。値は Go time.ParseDuration https://golang.org/pkg/time/#ParseDuration で受け入れられる単位である必要があります。デフォルト値は
70080hです。 - caCertDuration
-
CA 証明書の要求された 期間 または有効期間。最小許容期間は 1 時間です。値は Go time.ParseDuration https://golang.org/pkg/time/#ParseDuration で受け入れられる単位である必要があります。デフォルト値は
70080hです。 - 注記
- 証明書のデフォルトの期間は長くなります。これは、通常、証明書が更新されるときに Red Hat OpenStack Platform デプロイメントに証明書のサブセットをコピーするためです。QDR CA 証明書の更新プロセスの詳細は、6章AMQ Interconnect 証明書の更新 を参照してください。
Elasticsearch の certificates パラメーターは backends.events.elasticsearch 定義の一部であり、ServiceTelemetry オブジェクトで設定されます。
apiVersion: infra.watch/v1beta1
kind: ServiceTelemetry
metadata:
name: default
namespace: service-telemetry
spec:
...
backends:
...
events:
elasticsearch:
enabled: true
version: 7.16.1
certificates:
endpointCertDuration: 70080h
caCertDuration: 70080h
...
ServiceTelemetry オブジェクトの Transports.qdr 定義の一部である QDR の certificates パラメーターを設定できます。
apiVersion: infra.watch/v1beta1
kind: ServiceTelemetry
metadata:
name: default
namespace: service-telemetry
spec:
...
transports:
...
qdr:
enabled: true
certificates:
endpointCertDuration: 70080h
caCertDuration: 70080h
...5.5.2. TLS 証明書の有効期間の設定
Service Telemetry Framework (STF) で使用する TLS 証明書の期間を設定するには、ServiceTelemetry オブジェクトを変更し、certificates パラメーターを設定します。
前提条件
Service Telemetry Operator のインスタンスをまだデプロイしていません。
- 注記
-
ServiceTelemetryオブジェクトを作成すると、STF に必要な証明書とそのシークレットも作成されます。証明書とシークレットを変更する方法の詳細は、次を参照してください。6章AMQ Interconnect 証明書の更新次の手順は、新しい STF デプロイメントに有効です。
手順
TLS 証明書の期間を編集するには、Elasticsearch endpointCertDuration を設定 (3 年であれば 26280h)、QDR caCertDuration を設定 (10 年であれば 87600h) を設定できます。Elasticsearch の CA 証明書とエンドポイント証明書にはデフォルト値の 8 年を使用できます。
+
$ oc apply -f - <<EOF
apiVersion: infra.watch/v1beta1
kind: ServiceTelemetry
metadata:
name: default
namespace: service-telemetry
spec:
backends:
events:
elasticsearch:
enabled: true
certificates:
endpointCertDuration: 26280h
transport:
qdr:
enabled: true
certificates:
caCertDuration: 87600h
EOF検証
証明書の有効期限が正しいことを確認します。
$ oc get secret elasticsearch-es-cert -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -in - -text | grep "Not After" Not After : Mar 9 21:00:16 2026 GMT $ oc get secret default-interconnect-selfsigned -o jsonpath='{.data.tls\.crt}' | base64 -d | openssl x509 -in - -text | grep "Not After" Not After : Mar 9 21:00:16 2033 GMT