Для использования CoreOS и обеспечения безопасности различных компонентов требуется TLS.
Есть etcd, docker и другие сервисы, которым нужен CA для подписи сертификатов. Можно ли использовать один и тот же сертификат CA для подписи разных сертификатов для всех сервисов или мне действительно следует создать CA для каждого сервиса?
Я знаю, что это субъективно, и я могу услышать много «мнений», но есть ли действительно веская причина создавать несколько центров сертификации?
решение1
Не создавайте CA для каждой службы. Идея заключается в том, чтобы иметь один CA, сертификат CA которого импортируется в список доверенных CA каждой из ваших систем. Таким образом, вы можете подписывать все свои сертификаты с помощью этого CA, и они будут доверенными.