Mam taki scenariusz:
- kilka baz Amazon RDS, które okazują certyfikaty SSL podpisane przez Amazon CA
- aplikacja (java) łącząca się do bazy po SSLu powinna ufać tym certyfikatom
Obecne rozwiązanie:
- z Amazonowego bundle cerytifkatów CA (https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem) tworzę JKS, z JKSa sekret, który jest widoczny w ramach kontenera
- aplikacja za pomocą K8S API odczytuje hasło do trust store i inicjalizuje SSL'a
Działa ok. Natomiast pojawia się problem (nie na chwilę obecną, ale do czasu aż CA wygaśnie) z aktualizacją trust store.
Na chwilę obecną ludzie od utrzymania dostali przekaz:
- możecie monitorować daty wygaśnięcia i jak wygaśnie to odświeżyć zawartość trust store
- możecie nie-monitorować, jak wygaśnie, to się dowiecie bo przestanie działać
- skrypty do odświeżenia trust store są tu i tu
Czy AWS dostarcza jakieś klocki, które umożliwiłyby automagiczną aktualizację trust store? Może filozofia obsługi problemu jest inna? (Jaka?)
Nie wiem, może "zawsze aktualny" bundle da się go zaciągnąć do aplikacji za pomocą API / zamontować jakiś globalny EKSowy sekret?