web-dev-qa-db-fra.com

Mise à jour de l'expiration du certificat SSL de cluster de Mongo

J'ai un cluster Mongo multi-nœuds à l'aide de SSL requireSSL et les certificats vont expirer. Existe-t-il une méthode de temps d'arrêt zéro pour mettre à jour les certs? Je sais que le moyen le plus simple serait d'arrêter tous les nœuds, d'échanger les certs et de redémarrer Mongo. Idem pour tous les clients. Je n'ai trouvé aucun moyen de l'exécuter sans interruption de service.

3
Chris Powell

Si vous ne changez pas, le temps d'expiration de CERT suffit, vous ne devez pas avoir de problèmes pour modifier CERT ONE noeud à l'époque (mise à niveau de roulement).

Mais ... essentiellement suivant ceci procédure, vous avez donc "déclasser" votre niveau SSL de nœuds permet de passer et de modifier un nœud de certificat à l'heure. Après cela, vous pouvez ramener le niveau SSL à la requête après que tout le monde ait de nouveaux certs.

1
JJussi

Tant que vos nouveaux certificats sont émis par la même autorité de certification et que les nouveaux certificats doivent correspondre aux champs "O" "O", "OU" et "DC" en tant que certificat plus ancien, voir dans Documentation .

Les attributs d'organisation (OS), les attributs de l'unité organisationnelle (OU'S) et les composants de domaine (DC) doivent correspondre à ceux des certificats des autres membres du cluster.

1
Antoine