This is the multi-page printable view of this section.
Click here to print.
Return to the regular view of this page.
mtls CLI 命令参考
关于 mtls CLI 命令的详细信息
描述
检查 mTLS 是否已启用。
支持的平台
支持的平台包括 Kubernetes。
用法
dapr mtls [flags]
dapr mtls [command]
标志
| 名称 |
环境变量 |
默认值 |
描述 |
--help, -h |
|
|
显示帮助信息 |
--kubernetes, -k |
|
false |
检查 Kubernetes 集群是否启用了 mTLS |
可用命令
expiry 检查根证书颁发机构 (CA) 证书的到期时间
export 将根证书颁发机构 (CA)、颁发者证书和颁发者密钥导出到本地文件
renew-certificate 更新现有的根证书颁发机构 (CA)、颁发者证书和颁发者密钥
命令参考
查看以下链接以获取每个子命令的详细信息。
示例
# 检查 Kubernetes 集群上是否启用了 mTLS
dapr mtls -k
警告信息
此命令可能会发出警告信息。
根证书更新警告
如果部署到 Kubernetes 集群的 mTLS 根证书将在 30 天内到期,将显示以下警告信息:
您的 Kubernetes 集群的 Dapr 根证书将在 <n> 天后到期。到期日期:<date:time> UTC。
请参阅 docs.dapr.io 以获取证书更新说明,以避免服务中断。
1 - mtls export CLI 命令参考
关于 mtls export CLI 命令的详细信息
描述
将根证书颁发机构(CA)、颁发者证书和密钥导出到本地文件中
适用平台
用法
标志
| 名称 |
环境变量 |
默认值 |
描述 |
--help, -h |
|
|
导出命令的帮助信息 |
--out, -o |
|
当前目录 |
证书保存的输出目录路径 |
示例
# 检查 Kubernetes 证书的到期时间
dapr mtls export -o ./certs
警告信息
此命令可能会发出警告信息。
根证书更新警告
如果部署到 Kubernetes 集群的 mtls 根证书在 30 天内到期,将显示以下警告信息:
您的 Kubernetes 集群的 Dapr 根证书将在 <n> 天后到期。到期日期:<date:time> UTC。
请访问 docs.dapr.io 获取证书更新说明,以避免服务中断。
2 - mtls expiry CLI 命令指南
mtls expiry CLI 命令的详细说明
描述
用于检查根证书颁发机构 (CA) 证书的有效期
支持的平台
用法
标志
| 名称 |
环境变量 |
默认值 |
描述 |
--help, -h |
|
|
显示 expiry 的帮助信息 |
示例
# 查看 Kubernetes 证书的有效期
dapr mtls expiry
3 - mtls renew certificate CLI 命令参考
关于 mtls renew certificate CLI 命令的详细信息
描述
此命令用于更新即将到期的 Dapr 证书。例如,Dapr Sentry 服务会生成应用程序使用的默认根证书和颁发者证书。详情请参见安全的 Dapr 到 Dapr 通信
支持的平台
用法
dapr mtls renew-certificate [flags]
标志
| 名称 |
环境变量 |
默认值 |
描述 |
--help, -h |
|
|
renew-certificate 的帮助信息 |
--kubernetes, -k |
|
false |
支持的平台 |
--valid-until |
|
365 天 |
新创建证书的有效期 |
--restart |
|
false |
重启 Dapr 控制平面服务(Sentry 服务、Operator 服务和 Placement 服务器) |
--timeout |
|
300 秒 |
证书更新过程的超时时间 |
--ca-root-certificate |
|
|
用户提供的 PEM 根证书的文件路径 |
--issuer-public-certificate |
|
|
用户提供的 PEM 颁发者证书的文件路径 |
--issuer-private-key |
|
|
用户提供的 PEM 颁发者私钥的文件路径 |
--private-key |
|
|
用户提供的用于生成根证书的 root.key 文件 |
示例
通过生成全新证书来更新证书
为 Kubernetes 集群生成新的根证书和颁发者证书,默认有效期为 365 天。证书不会立即应用于 Dapr 控制平面。
dapr mtls renew-certificate -k
为 Kubernetes 集群生成新的根证书和颁发者证书,默认有效期为 365 天,并重启 Dapr 控制平面服务。
dapr mtls renew-certificate -k --restart
为 Kubernetes 集群生成具有指定有效期的新的根证书和颁发者证书。
dapr mtls renew-certificate -k --valid-until <天数>
为 Kubernetes 集群生成具有指定有效期的新的根证书和颁发者证书,并重启 Dapr 控制平面服务。
dapr mtls renew-certificate -k --valid-until <天数> --restart
使用用户提供的证书更新证书
使用提供的 ca.pem、issuer.pem 和 issuer.key 文件路径为 Kubernetes 集群更新证书,并重启 Dapr 控制平面服务。
dapr mtls renew-certificate -k --ca-root-certificate <ca.pem> --issuer-private-key <issuer.key> --issuer-public-certificate <issuer.pem> --restart
使用提供的 ca.pem、issuer.pem 和 issuer.key 文件路径为 Kubernetes 集群更新证书。
dapr mtls renew-certificate -k --ca-root-certificate <ca.pem> --issuer-private-key <issuer.key> --issuer-public-certificate <issuer.pem>
使用提供的根私钥生成全新证书来更新证书
使用现有的私有 root.key 为 Kubernetes 集群生成新的根证书和颁发者证书,并设置指定的有效期。
dapr mtls renew-certificate -k --private-key myprivatekey.key --valid-until <天数>
使用现有的私有 root.key 为 Kubernetes 集群生成新的根证书和颁发者证书。
dapr mtls renew-certificate -k --private-key myprivatekey.key