DNS 证书管理

默认情况下，Citadel 管理 Istio 控制平面的 DNS 证书。Citadel 是一个大型组件，它维护自己的私有签名密钥，并充当证书颁发机构 (CA)。

Istio 1.4 中新增了一项功能，可以安全地配置和管理由 Kubernetes CA 签署的 DNS 证书，这具有以下优势。

• 更轻量级的 DNS 证书管理，无需依赖 Citadel。

• 与 Citadel 不同，此功能不会维护私有签名密钥，从而增强了安全性。

• 简化了根证书分发到 TLS 客户端。客户端不再需要等待 Citadel 生成和分发其 CA 证书。

下图显示了在 Istio 中配置和管理 DNS 证书的架构。Chiron 是在 Istio 中配置和管理 DNS 证书的组件。

要尝试此新功能，请参阅DNS 证书管理任务。