使用 CoreOS 并保护不同组件需要 TLS。
etcd、docker 和其他服务都需要 CA 来签署证书。我可以使用同一个 CA 证书来签署所有服务的不同证书吗?还是我真的应该为每个服务创建一个 CA?
我知道这很主观,我可能会有很多“意见”,但真的有什么好的理由去创建多个 CA 吗?
答案1
不要为每个服务创建一个 CA。我们的想法是只创建一个 CA,并将其 CA 证书导入到您每个系统的受信任 CA 列表中。这样,您就可以使用该 CA 签署所有证书,并且这些证书将受到信任。
使用 CoreOS 并保护不同组件需要 TLS。
etcd、docker 和其他服务都需要 CA 来签署证书。我可以使用同一个 CA 证书来签署所有服务的不同证书吗?还是我真的应该为每个服务创建一个 CA?
我知道这很主观,我可能会有很多“意见”,但真的有什么好的理由去创建多个 CA 吗?
不要为每个服务创建一个 CA。我们的想法是只创建一个 CA,并将其 CA 证书导入到您每个系统的受信任 CA 列表中。这样,您就可以使用该 CA 签署所有证书,并且这些证书将受到信任。