Security
用於 TLS 身份驗證的 CA 證書
使用 CoreOS 並保護不同的組件需要 TLS。
有 etcd、docker 和其他需要 CA 簽署證書的服務。可以使用相同的 CA 證書為所有服務簽署不同的證書,還是我真的應該為每個服務創建一個 CA?
我知道這是主觀的,我可能會得到很多“意見”,但真的有什麼好的理由來創建幾個 CA 嗎?
不要為每個服務創建 CA。這個想法是擁有一個單一的 CA,其 CA 證書被導入到您系統的每個受信任的 CA 列表中。這樣,您可以使用該 CA 簽署您的所有證書,並且它們將受到信任。