CoreOS를 사용하고 다양한 구성 요소를 보호하려면 TLS가 필요합니다.
인증서에 서명하기 위해 CA가 필요한 etcd, docker 및 기타 서비스가 있습니다. 동일한 CA 인증서를 사용하여 모든 서비스에 대해 서로 다른 인증서에 서명해도 괜찮습니까? 아니면 실제로 각 서비스에 대해 CA를 만들어야 합니까?
이것이 주관적이며 많은 '의견'을 얻을 수 있다는 것을 알고 있지만 실제로 여러 CA를 만드는 데 필요한 타당한 이유가 있습니까?
답변1
각 서비스에 대해 CA를 만들지 마십시오. 아이디어는 CA 인증서를 각 시스템의 신뢰할 수 있는 CA 목록으로 가져오는 단일 CA를 갖는 것입니다. 이렇게 하면 해당 CA를 사용하여 모든 인증서에 서명할 수 있으며 신뢰할 수 있습니다.