Chúng tôi đang sử dụng mTLS để xác thực các dịch vụ phụ trợ của mình và chứng chỉ gốc sẽ hết hạn vào năm 2022. Dưới đây là chi tiết hết hạn cho tất cả các chứng chỉ:
- Các nguồn gốc chứng chỉ sẽ hết hạn trong 2022
- Các trung cấp chứng chỉ sẽ hết hạn trong 2031
- Các Lá cây chứng chỉ sẽ hết hạn trong 2023
Tôi không biết tại sao chứng chỉ gốc được đặt hết hạn trước tất cả các chứng chỉ khác và tôi muốn tránh cập nhật tất cả các chứng chỉ trong một vài tháng nếu có thể. Dựa trên các thử nghiệm của chúng tôi, mọi thứ sẽ vẫn hoạt động sau khi chứng chỉ gốc hết hạn miễn là chứng chỉ trung gian và chứng chỉ lá vẫn còn hiệu lực. Chúng tôi đã thực hiện các thử nghiệm sau để xác thực:
- Chúng tôi đã cập nhật chứng chỉ trong môi trường thử nghiệm và đặt chứng chỉ gốc hết hạn sau một giờ
- Mọi thứ đã hoạt động bình thường sau một giờ
- Chúng tôi đã thực hiện một thử nghiệm khác với các chứng chỉ trung gian, khiến chúng hết hạn sau một giờ
- Sau một giờ, chúng tôi bắt đầu nhận được lỗi xác thực
Ai đó có thể xác nhận xem các thử nghiệm của chúng tôi có đủ để xác thực rằng việc hết hạn chứng chỉ gốc không gây ra sự cố không?
Cảm ơn vì những ý tưởng tốt đẹp mà bạn cung cấp!
### Thông tin thêm ###
Chúng tôi sử dụng xác thực mTLS giữa các dịch vụ nội bộ của mình:
- Hashicorp Consul, Nomad và Vault
- MongoDB
- Một vài dịch vụ khác
Trong những trường hợp này, chúng tôi có thể tìm thấy chứng chỉ trung gian và lá nhưng không tìm thấy chứng chỉ gốc.
Nếu tôi xác thực chứng chỉ trung gian, tôi có thể thấy rằng chứng chỉ sẽ hết hạn sau 1 năm mặc dù chứng chỉ gốc đã hết hạn.
Tôi đã kiểm tra các chứng chỉ này bằng cách sử dụng Terraform để tạo 3 máy chủ Lãnh sự trong một môi trường mới. Chứng chỉ kiểm tra đã được cài đặt trên từng phiên bản và việc hết hạn chứng chỉ gốc không gây ra bất kỳ sự cố nào
