Este posibil să aveți certificate rădăcină multiple/personalizate pentru a fi utilizate pentru grupuri de utilizatori/kubectl/fișiere de configurare?
Nu, există un singur certificat „rădăcină”, de aceea se numește rădăcină.
Cu toate acestea, x509 este un lanţ de încredere, ceea ce înseamnă că este foarte posibil să emiti CA-uri subordonate sub acea rădăcină, apoi să emiti certificatele de utilizator sub acele CA-uri, alegând să elimini CA-urile subordonate când proiectul se termină, ceea ce va orfani toate acele certificate de frunză. Rețineți că, după cunoștințele mele, schimbarea certificatelor sau a lanțului lor necesită repornirea planului de control, deoarece nu reîncarcă la cald acele fișiere de certificat. Cred că există o problemă cu GitHub, la fel ca toate celelalte 15.000 dintre ele
Cealaltă opțiune, în funcție de nevoile dvs., este să emiteți contracte de închiriere scurte pentru certificatele de utilizator, astfel încât procesul de „revocare” să nu modifice atât de mult lanțul de încredere x509, cât doar eșuează în reemiterea unei acreditări. Este mai aproape de școala de gândire Hashicorp Vault și Let's Encrypt
L-am implementat personal pe cel de-al doilea (folosind Vault), dar cred că primul este posibil deoarece apiserver folosește lanțuri x509 pentru unele dintre componentele sale de autentificare în cluster, așa că nu văd de ce nu ați putea profita în mod similar. a acelui mecanism
Știu că nu este ceea ce ai întrebat, dar utilizarea x509 pentru autentificarea tranzitorie este calea spre ruină, deoarece -- așa cum te confrunți -- ambele părți, emiterea și revocarea, sunt o durere uriașă. Dacă vă este deloc disponibil, Mecanismul de autentificare OIDC este mult mai ușor de raționat și kubectl are mai mult sau mai puțin suport încorporat pentru acesta
