群集配置具有群集和服务器证书的"指纹辅助"属性,以启用证书的滚动升级。如何升级客户端证书?
"CertificateInformation": {
"ClusterCertificate": {
"Thumbprint": "[Thumbprint]",
"ThumbprintSecondary": "[Thumbprint]",
"X509StoreName": "My"
},
"ServerCertificate": {
"Thumbprint": "[Thumbprint]",
"ThumbprintSecondary": "[Thumbprint]",
"X509StoreName": "My"
},
"ClientCertificateThumbprints": [
{
"CertificateThumbprint": "[Thumbprint]",
"IsAdmin": false
},
{
"CertificateThumbprint": "[Thumbprint]",
"IsAdmin": true
}
],
"ClientCertificateCommonNames": [
{
"CertificateCommonName": "[CertificateCommonName]",
"CertificateIssuerThumbprint" : "[Thumbprint]",
"IsAdmin": true
}
]
客户端证书没有滚动更新过程,只需更新已识别的证书指纹列表,删除要切断访问的客户端的指纹,并添加新指纹的指纹。
由于在所有节点上推出和安装的只是指纹,而不是实际的证书,因此该过程比更改群集证书快一点。
如果一次更改多个指纹,我建议使用允许的指纹的更新列表部署 ARM 模板,因为门户中的每个更改都会触发 Service Fabric 节点的更新,这确实需要一些时间。如果在 ARM 模板中更新整个精简版,则最终只需执行一个更新操作。