一、背景

Dapr 默認證書有效時間是1年，證書過期后就不能執行相關控制面和數據面的交互了，如下圖：

二、查看證書有效時間

通過dapr mtls expiry 看到期時間，具體參見命令https://v1-7.docs.dapr.io/reference/cli/dapr-mtls/dapr-mtls-expiry/

三、解決方案

Dapr 支持使用 Dapr 控制平面、Sentry 服務（中央證書頒發機構 (CA)）對 Dapr 實例之間的通信進行傳輸中加密。

Dapr 允許運維和開發人員引入他們自己的證書，或者讓 Dapr 自動創建和保存自簽名的根證書和頒發者證書。具體參見

https://docs.dapr.io/operations/security/mtls/。

Dapr 在1.7版本引入了一個新的命令：

dapr mtls renew-certificate -k --valid-until <days> –restart

生成全新的根證書和頒發者證書，由新生成的私鑰簽名。Dapr sentry service必須重新啟動隨后的其余控制平面服務才能讀取新證書。這可以通過向--restart命令提供標志來完成。

對于 1.7 以下版本, 只能手工進行操作，具體可以參考 文檔?https://v1-5.docs.dapr.io/operations/security/mtls/#bringing-your-own-certificates?，更新完Dapr 證書，則必須重新啟動 Dapr Sentry 服務，然后是 Dapr 控制平面服務的其余部分。

kubectl rollout restart deploy/dapr-sentry -n <DAPR_NAMESPACE>

一旦sentry 完全重新啟動運行：

kubectl rollout restart deploy/dapr-operator -n <DAPR_NAMESPACE>
kubectl rollout restart statefulsets/dapr-placement-server -n <DAPR_NAMESPACE>

接下來，您必須重新啟動所有啟用 Dapr 的 pod。推薦的方法是重新啟動部署：

kubectl rollout restart deploy/<myapp> –n <APP_NAMESPACE>

在成功重新啟動所有部署（并因此加載新的 Dapr 證書）之前，由于證書不匹配，您將經歷潛在的停機時間。

1.7 版本以后Dapr 在這個方面做的更完善了，為 Dapr 控制平面 mTLS 證書過期設置監控?

從 mTLS 根證書到期前 30 天開始，Dapr 哨兵服務將發出每小時警告級別的日志，指示根證書即將到期。作為在生產中運行 Dapr 的最佳操作實踐，我們建議為這些特定哨兵服務日志配置監控，以便您了解即將到期的證書。

從 1.7.0 版開始，作為提醒您即將到來的證書到期的附加工具，CLI 現在會在您與基于 Kubernetes 的部署交互時打印證書到期狀態。