ASM認證管理可以在網格內進行統一的認證同步,能夠更好地支援ASM的多叢集情境,還提供了認證資訊展示和到期警示等功能,方便您進行認證維護。本文介紹如何使用ASM認證管理功能。
前提條件
已添加叢集到ASM執行個體,且執行個體版本為1.17及以上。
步驟一:準備伺服器憑證和私密金鑰
執行以下命令,建立根憑證和私密金鑰。
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=myexample Inc./CN=aliyun.com' -keyout aliyun.root.key -out aliyun.root.crt
執行以下命令,為aliyun.com伺服器產生認證和私密金鑰,有效期間為365天。
openssl req -out aliyun.com.csr -newkey rsa:2048 -nodes -keyout aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization" openssl x509 -req -days 365 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in aliyun.com.csr -out aliyun.com.crt
執行以下命令,為aliyun.com伺服器產生一個即將到期的認證和私密金鑰,有效期間為1天。
此處建立有效期間為1天的認證是為了測試ASM的認證到期警示功能。
openssl req -out expiring.aliyun.com.csr -newkey rsa:2048 -nodes -keyout expiring.aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization" openssl x509 -req -days 1 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in expiring.aliyun.com.csr -out expiring.aliyun.com.crt
(可選)步驟二:開啟控制平面日誌採集和認證警示
您可以根據實際情況,開啟控制平面日誌採集、認證到期警示和認證即將到期警示。如果您的認證有效期間不足30天,ASM會認為您的認證即將到期。
ASM執行個體為1.17.2.35以下,請參見啟用控制平面日誌採集和日誌警示(舊版)。
ASM執行個體為1.17.2.35及以上,請參見啟用控制平面日誌採集和日誌警示(新版)。
步驟三:在認證管理頁面建立認證
建立一個正常的認證。
參照步驟1,建立一個即將到期的認證。
密鑰憑證和私密金鑰請分別使用步驟一第3步產生的
expiring.aliyun.com.crt
和expiring.aliyun.com.key
檔案內容。認證建立完成後,您可以在認證管理頁面看到新建立的兩個認證。您可以在操作列,單擊詳情查看認證的詳細資料,也可以單擊編輯修改認證內容。(可選)查看認證的警示日誌。
ASM執行個體為1.17.2.35以下
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇 。
在配置資訊地區的控制面日誌採集右側,單擊查看日誌,然後在左側日誌庫,單擊internal-alert-history,在右側的internal-alert-history頁面搜尋認證,查看認證的警示日誌。
ASM執行個體為1.17.2.35及以上
登入ASM控制台,在左側導覽列,選擇 。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇 。
在日誌中心頁面,單擊控制平面日誌頁簽,在文字框內輸入認證,單擊查詢/分析,查看認證的警示日誌。
說明認證到期警示的檢查間隔為6小時。如果您當前沒有警示日誌,請於6小時後進行查看。
引用認證管理中的認證。
在認證管理頁面建立認證之後,您可以在以下三處直接引用認證。
步驟四:認證遷移
ASM從1.17版本起,開始支援在ASM網關 > 認證管理對認證進行管理。如果您已在網關概覽的網域名稱/認證頁面建立了認證,請及時遷移至認證管理頁面。
您可以直接在認證管理頁面,建立同名認證,將原有認證的相關資訊進行粘貼,之後認證管理頁面會接管原有認證。