问题描述

创建Service Fabric时，证书在整个集群中是非常重要的部分，有着用户身份验证，节点之间通信，SF升级时的身份及授权认证等功能。如果证书过期则会导致节点受到影响集群无法正常工作。

当证书过期或吊销后，通常出现的问题为：

• Service  Fabric群集无法使用升级服务
• Service  Fabric Explorer无法连接
• 节点全部停用，无法查看到任何节点信息

当出现以上的情况，最快的办法为新建全新的Service Fabric集群，这也是最高效的一种办法。为了预防证书过期的情况发送，有以下两点建议：

一：在Key Vault中创建证书时候，选择自动续订新版本证书。

二：而如果没有自动续订新版本证书，则需指定维护计划，在证书过期之前就更新证书。而Service Fabric更换安全证书的过程，首先您需要把新的证书上传到key vault中，然后通过powershell或者模板的方式为群集添加辅助证书，然后在Portal操作切换证书。

添加辅助证书请参考：（在当前Service Fabric的资源组中导出模板，对certificateSecondary节点进行修改）

https://docs.microsoft.com/zh-cn/azure/service-fabric/service-fabric-cluster-security-update-certs-azure#add-a-secondary-certificate-using-resource-manager-powershell

https://docs.microsoft.com/en-us/powershell/module/az.servicefabric/add-azservicefabricclustercertificate?view=azps-1.0.0

当完成辅助证书添加后，可以在门户中看见两个证书，点击红框中的...来交换主要/辅助证书。

管理SF群集证书的文档可以参考：https://docs.azure.cn/zh-cn/service-fabric/service-fabric-cluster-security-update-certs-azure