内容纲要
概要描述
TOS CA 证书于 2025/12/7 号过期,需要及时进行证书的更新防止 TOS 集群不可用。
CA 证书是 tcos 组件的负责签发和验证其他组件通信时使用的证书。
一般数字证书在创建时都会设置一个明确的有效期,这算是密码学的最佳实践,所以会过期。
详细说明
受影响版本:
- TDH 5.0 ~ 9.4.0.2
- TDC < 5.0 (确认一下)
- TDC 5.0 纳管了受影响版本的 TDH (如TDC5.0.3纳管了TDH6.2.2,则需要更新CA证书)
1、检查方式
- 检查检查当前集群TOS证书过期时间
登录集群任意节点,执行下面的命令
# Manager 5 以上
openssl x509 -text -in /srv/kubernetes/ca.pem |grep Not# Manager 5 版本
openssl x509 -text -in /srv/kubernetes/ca.crt |grep Not
如果显示是 2025/12/7 号过期,则表示受影响。
- 查看 TOS 的版本
执行下面的命令:
docker images |grep etcd如下输出,其中 tos-2.1.5 就代表 TOS 的版本
- 检查 Manager 的版本
登录 Manager 页面,点击右上角三个点 –>【关于我们】,查看 Manager 版本号
2、选择续签方式
2.1、TDH 集群 Manager 9.4.0.0 版本
2.2、TDH 集群 Manager 大于 5.x.x 小于 Manager 9.4.0.0
2.2.1、 可以选择升级 Manager 至9.4.0.0 后再按照 2.1 步骤续签。
2.2.2、 也可以直接使用脚本续签。
-
Manager 和 TOS Master 在同一个节点
TDH Manager 9.4 之前的版本环境下TOS CA证书续签) -
Manager 和 TOS Master 不在同一个节点
TDH Manager 9.4 之前的版本环境下TOS CA证书续签(Manager 和 TOS-Master 不在 同一个节点 )
2.3、TDH 集群 Manager 5.x.x 版本
3、过期后续签方式
3.1 TDH 集群
TOS CA 证书过期更新使用手册(Manager6以上版本)
3.2 TDC 集群
补充中