- [Tip] 파스-타 인증서 갱신
-
- 등록일
- 2020-09-25 16:29:24
# bosh 인증서 갱신
1. ca 로테이션할 nats, blobstore 새로운 ca 추가
* nats,blobstore ca 로테이션 참고 사이트
https://bosh.io/docs/credential-rotation/
- add-new-ca.yml
- add-new-blobstore-ca.yml
2. creds.yml에 nats,blobstore 제외 모든 ca삭제
3. deploy.sh에 추가한 ca 로테이션 파일 옵션 추가
$ vi deploy-{IAAS}.sh
-변경 전-
#!/bin/bash
bosh create-env bosh.yml \
--state=aws/state.json \
--vars-store=aws/creds.yml \
-o aws/cpi.yml \
-o uaa.yml \
-o credhub.yml \
-o jumpbox-user.yml \
....
-변경 후-
#!/bin/bash
bosh create-env bosh.yml \
--state=aws/state.json \
--vars-store=aws/creds.yml \
-o aws/cpi.yml \
-o uaa.yml \
-o credhub.yml \
-o jumpbox-user.yml \
-o add-new-ca.yml \
-o add-new-blobstore-ca.yml \
...
4. 변경된 ca 적용을 위한 배포된 deployment recreate
bosh -e micro-bosh -d {deployment명} recreate
ex) bosh -e micro-bosh -d paasta recreate
5. ca 로테이션할 old nats, blobstore ca 삭제
- remove-old-ca.yml
- remove-old-blobstore-ca.yml
6. deploy.sh에 old nats, blobstore ca 삭제를 위한 파일 옵션 추가
$ vi deploy-{IAAS}.sh
-변경 전-
#!/bin/bash
bosh create-env bosh.yml \
--state=aws/state.json \
--vars-store=aws/creds.yml \
-o aws/cpi.yml \
-o uaa.yml \
-o credhub.yml \
-o jumpbox-user.yml \
-o add-new-ca.yml \
-o add-new-blobstore-ca.yml \
...
-변경 후-
#!/bin/bash
bosh create-env bosh.yml \
--state=aws/state.json \
--vars-store=aws/creds.yml \
-o aws/cpi.yml \
-o uaa.yml \
-o credhub.yml \
-o jumpbox-user.yml \
-o remove-old-ca.yml \
-o remove-old-blobstore-ca.yml \
...
7. old nats, blobstore ca 삭제 적용을 위한 deployment recreate
bosh -e micro-bosh -d {deployment명} recreate
ex) bosh -e micro-bosh -d paasta recreate
8. creds.yml 정리
- update_nats_var_values.yml
- update_blobstore_var_values.yml
$ cp creds.yml creds.yml.bkp
$ bosh -e micro-bosh interpolate creds.yml \
-o update_nats_var_values.yml \
-o update_blobstore_var_values.yml \
--vars-file creds.yml > updated_creds.yml
$ mv updated_creds.yml creds.yml
# cf 인증서 갱신
1. dns.yml에 설정이 되는 삭제
dns_api_client_tls
dns_api_server_tls
dns_api_tls_ca
dns_healthcheck_client_tls
dns_healthcheck_server_tls
dns_healthcheck_tls_ca
$ credhub delete -n
ex) credhub delete -n dns_api_client_tls
2. update-runtime-config.sh 재실행
3. paasta deplyment 재배포