mirror of https://github.com/istio/istio.io.git
1.2 KiB
1.2 KiB
| title | description | publishdate | attribution | keywords | target_release | ||||
|---|---|---|---|---|---|---|---|---|---|
| DNS 证书管理 | 在 Istio 中配置和管理 DNS 证书。 | 2019-11-14 | Lei Tang (Google) |
|
1.4 |
默认情况下, Istio 的 DNS 证书是由 Citadel 来管理的。Citadel 是一个功能强大的组件,不仅维护自己的私有签名密钥,而且充当证书颁发机构(CA)。
在 Istio 的 1.4 版本中,我们引入了一项新功能,可以安全地配置和管理由 Kubernetes CA 签名的 DNS 证书,它具有以下优点。
-
轻量级
DNS证书管理,不依赖于Citadel。 -
与
Citadel不同的是,此功能不维护私有签名密钥,从而增强了安全性。 -
简化了向
TLS客户端分发根证书。客户不再需要等待Citadel生成和分发其CA证书。
下图显示了在 Istio 中配置和管理 DNS 证书的体系结构。Chiron 是在 Istio 中配置和管理 DNS 证书的组件。
{{< image width="50%" link="./architecture.png" caption="在 Istio 中配置和管理 DNS 证书的架构" >}}
要尝试此新功能,请参阅 DNS 证书管理内容。