mtls CLI 命令参考
关于 mtls CLI 命令的详细信息
描述
检查 mTLS 是否已启用。
支持的平台
支持的平台包括 Kubernetes。
用法
dapr mtls [flags]
dapr mtls [command]
标志
| 名称 | 环境变量 | 默认值 | 描述 |
|---|
--help, -h | | | 显示帮助信息 |
--kubernetes, -k | | false | 检查 Kubernetes 集群是否启用了 mTLS |
可用命令
expiry 检查根证书颁发机构 (CA) 证书的到期时间
export 将根证书颁发机构 (CA)、颁发者证书和颁发者密钥导出到本地文件
renew-certificate 更新现有的根证书颁发机构 (CA)、颁发者证书和颁发者密钥
命令参考
查看以下链接以获取每个子命令的详细信息。
示例
# 检查 Kubernetes 集群上是否启用了 mTLS
dapr mtls -k
警告信息
此命令可能会发出警告信息。
根证书更新警告
如果部署到 Kubernetes 集群的 mTLS 根证书将在 30 天内到期,将显示以下警告信息:
您的 Kubernetes 集群的 Dapr 根证书将在 <n> 天后到期。到期日期:<date:time> UTC。
请参阅 docs.dapr.io 以获取证书更新说明,以避免服务中断。
1 - mtls export CLI 命令参考
关于 mtls export CLI 命令的详细信息
描述
将根证书颁发机构(CA)、颁发者证书和密钥导出到本地文件中
适用平台
用法
标志
| 名称 | 环境变量 | 默认值 | 描述 |
|---|
--help, -h | | | 导出命令的帮助信息 |
--out, -o | | 当前目录 | 证书保存的输出目录路径 |
示例
# 检查 Kubernetes 证书的到期时间
dapr mtls export -o ./certs
警告信息
此命令可能会发出警告信息。
根证书更新警告
如果部署到 Kubernetes 集群的 mtls 根证书在 30 天内到期,将显示以下警告信息:
您的 Kubernetes 集群的 Dapr 根证书将在 <n> 天后到期。到期日期:<date:time> UTC。
请访问 docs.dapr.io 获取证书更新说明,以避免服务中断。
2 - mtls expiry CLI 命令指南
mtls expiry CLI 命令的详细说明
描述
用于检查根证书颁发机构 (CA) 证书的有效期
支持的平台
用法
标志
| 名称 | 环境变量 | 默认值 | 描述 |
|---|
--help, -h | | | 显示 expiry 的帮助信息 |
示例
# 查看 Kubernetes 证书的有效期
dapr mtls expiry
3 - mtls renew certificate CLI 命令参考
关于 mtls renew certificate CLI 命令的详细信息
描述
此命令用于更新即将到期的 Dapr 证书。例如,Dapr Sentry 服务会生成应用程序使用的默认根证书和颁发者证书。详情请参见安全的 Dapr 到 Dapr 通信
支持的平台
用法
dapr mtls renew-certificate [flags]
标志
| 名称 | 环境变量 | 默认值 | 描述 |
|---|
--help, -h | | | renew-certificate 的帮助信息 |
--kubernetes, -k | | false | 支持的平台 |
--valid-until | | 365 天 | 新创建证书的有效期 |
--restart | | false | 重启 Dapr 控制平面服务(Sentry 服务、Operator 服务和 Placement 服务器) |
--timeout | | 300 秒 | 证书更新过程的超时时间 |
--ca-root-certificate | | | 用户提供的 PEM 根证书的文件路径 |
--issuer-public-certificate | | | 用户提供的 PEM 颁发者证书的文件路径 |
--issuer-private-key | | | 用户提供的 PEM 颁发者私钥的文件路径 |
--private-key | | | 用户提供的用于生成根证书的 root.key 文件 |
示例
通过生成全新证书来更新证书
为 Kubernetes 集群生成新的根证书和颁发者证书,默认有效期为 365 天。证书不会立即应用于 Dapr 控制平面。
dapr mtls renew-certificate -k
为 Kubernetes 集群生成新的根证书和颁发者证书,默认有效期为 365 天,并重启 Dapr 控制平面服务。
dapr mtls renew-certificate -k --restart
为 Kubernetes 集群生成具有指定有效期的新的根证书和颁发者证书。
dapr mtls renew-certificate -k --valid-until <天数>
为 Kubernetes 集群生成具有指定有效期的新的根证书和颁发者证书,并重启 Dapr 控制平面服务。
dapr mtls renew-certificate -k --valid-until <天数> --restart
使用用户提供的证书更新证书
使用提供的 ca.pem、issuer.pem 和 issuer.key 文件路径为 Kubernetes 集群更新证书,并重启 Dapr 控制平面服务。
dapr mtls renew-certificate -k --ca-root-certificate <ca.pem> --issuer-private-key <issuer.key> --issuer-public-certificate <issuer.pem> --restart
使用提供的 ca.pem、issuer.pem 和 issuer.key 文件路径为 Kubernetes 集群更新证书。
dapr mtls renew-certificate -k --ca-root-certificate <ca.pem> --issuer-private-key <issuer.key> --issuer-public-certificate <issuer.pem>
使用提供的根私钥生成全新证书来更新证书
使用现有的私有 root.key 为 Kubernetes 集群生成新的根证书和颁发者证书,并设置指定的有效期。
dapr mtls renew-certificate -k --private-key myprivatekey.key --valid-until <天数>
使用现有的私有 root.key 为 Kubernetes 集群生成新的根证书和颁发者证书。
dapr mtls renew-certificate -k --private-key myprivatekey.key