Für die Verwendung von CoreOS und die Sicherung der verschiedenen Komponenten ist TLS erforderlich.
Es gibt etcd, Docker und andere Dienste, die eine Zertifizierungsstelle zum Signieren von Zertifikaten benötigen. Ist es in Ordnung, dasselbe Zertifizierungsstellenzertifikat zum Signieren der verschiedenen Zertifikate für alle Dienste zu verwenden, oder sollte ich wirklich für jeden Dienst eine Zertifizierungsstelle erstellen?
Ich weiß, dass dies subjektiv ist und ich möglicherweise viele „Meinungen“ bekomme, aber gibt es wirklich einen guten Grund, mehrere CAs zu erstellen?
Antwort1
Erstellen Sie nicht für jeden Dienst eine CA. Die Idee ist, eine einzige CA zu haben, deren CA-Zertifikat in die Liste der vertrauenswürdigen CAs jedes Ihrer Systeme importiert wird. Auf diese Weise können Sie alle Ihre Zertifikate mit dieser CA signieren und sie werden als vertrauenswürdig eingestuft.