使用 CoreOS 並保護不同元件需要 TLS。
etcd、docker 和其他服務需要 CA 簽署憑證。是否可以使用相同的 CA 證書為所有服務簽署不同的證書,還是應該為每個服務建立一個 CA?
我知道這是主觀的,我可能會得到很多“意見”,但是真的有充分的理由創建多個 CA 嗎?
答案1
不要為每個服務建立一個 CA。這個想法是擁有一個單一的 CA,其 CA 憑證被匯入到每個系統的受信任 CA 清單中。這樣,您就可以使用該 CA 簽署所有證書,並且它們將受到信任。
用於 TLS 驗證的 CA 憑證