Azure CRP Linux VM または VMSS プールで証明書をローテーションしようとしています。それらをデプロイする最も簡単な方法 (keyvault から CRP によってインストールされる) は、すべての証明書を単一のフォルダー (/var/lib/waagent) にスローします。キーは {thumbprint}.prv、証明書は {thumbprint}.crt です。新しい証明書を追加したい場合は、同じフォルダーに新しい証明書を追加するコマンドを開始できます。
私は現在、フォルダーを監視し、サブジェクト名に新しい証明書があるかどうか、およびサブジェクト名に依存するサイクルプロセスがいつ新しい証明書を指すかを確認する仕事を探しています。次のようなコマンドで openssl を使用できることはわかっています:
sudo openssl x509 -inform PEM -in /var/lib/waagent/{thumbprint}.pem -subject -enddate -noout
サブジェクト名と有効期限を取得します。次に、返されたサブジェクト名ごとに、将来の有効期限が最も遠い証明書を追跡する必要があります。
私の質問は、これは、特定のサブジェクト名に対して最も長く続く証明書を見つけたいという、かなり一般的なユースケースでは大変な作業のように感じるということです。これは、ほとんどの Linux サーバーでどのように処理されますか? これを見つけて、サブジェクト名 xyz の新しい証明書があることを示す bash スクリプトを t 秒ごとに実行するだけで、プロセス abc を再起動して、新しい証明書 jkl を使用するように構成するだけでよい方法はありますか?
質問する
58 次
1 に答える
0
これを見つけて、サブジェクト名 xyz の新しい証明書があることを示す bash スクリプトを t 秒ごとに実行して、プロセス abc を再起動し、新しい証明書 jkl を使用するように設定するだけの方法はありますか?
私の知る限り、スクリプトは既存のツールを使用するよりも柔軟です。Linux での証明書管理ツールを探しているようです。私の提案は、独自のスクリプトを作成することです。ところで、Linux クライアントが Windows Server ベースの CA サーバーに対して証明書を登録できる商用ソリューションがいくつかあります。
于 2016-12-09T08:52:17.387 に答える