问题解决了,这里总结一下Citadel证书体系。大多数用户使用Isito的时候,都会选择使用自签名的根证书。如图18-2所示,自签名根证书、证书,以及证书使用者sidecar三者之间有三种关系。
● 根证书和证书之间的签发关系。这种关系,保证了信任的传递性质。
● 证书和sidecar之间的持有和被持有关系。从某种意义上说,这是在Pod/sidecar和证书之间画上了等号。
● 根证书和sidecar之间的信任关系。与前两种关系一起考虑,sidecar信任根证书签发的所有证书。
图18-2 Citadel证书体系
以上三条即可保证,在互相通信的时候,Pod/sidecar之间可以成功完成TLS双向认证。