12.3. Red Hat Single Sign-On インテグレーションの設定
以下の手順では、カスタム CA 証明書を使用するように zync-que を設定する方法を説明します。
12.3.1. カスタム CA 証明書を使用する zync-que の設定
前提条件
Https 経由で RH-SSO を提供でき
、zync-queにより到達可能であることを確認する必要があります。このタイプのタイプをテストするには、以下を実行します。curl https://rhsso-fqdn
-
3scale 2.2 以降は、
SSL_CERT_FILE環境変数により、RH-SSO 用カスタム CA 証明書がサポートされます。この変数は、証明書バンドルのローカルパスをポイントします。
注記
-
一部のバージョンの OpenSSL は
、--を受け入れます。使用しているバージョンに合わせて、以下のコマンドを実行します。showcertsではなく、-showcerts -
以下の手順 1 のコマンドでは、
<rhsso_fqdn> が言及しています。完全修飾ドメイン名(FQDN)は、人間が判読できるドメイン名です(例:host.example.com)。
手順
以下のコマンドを実行して、適切な証明書チェーンを取得します。
echo -n | openssl s_client -connect <rhsso_fqdn>:<rhsso_port> -servername <rhsso_fqdn> --showcerts | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > customCA.pem
手順
以下の cURL コマンドを使用して、新しい証明書を検証します。レルムの JSON 設定が返されるはずです。検証の失敗は、証明書が正しくないことを意味します。
curl -v https://<secure-sso-host>/auth/realms/master --cacert customCA.pem
証明書バンドルを Zync Pod に追加します。
Zync Pod 上の
/etc/pki/tls/cert.pemファイルの既存コンテンツを収集します。以下を実行します。oc exec <zync-que-pod-id> cat /etc/pki/tls/cert.pem > zync.pem
カスタム CA 証明書ファイルの内容を
zync.pemに追加します。cat customCA.pem >> zync.pem
新たなファイルを ConfigMap として Zync Pod に追加します。
oc create configmap zync-ca-bundle --from-file=./zync.pem
oc set volume dc/zync-que --add --name=zync-ca-bundle --mount-path /etc/pki/tls/zync/zync.pem --sub-path zync.pem --source='{"configMap":{"name":"zync-ca-bundle","items":[{"key":"zync.pem","path":"zync.pem"}]}}'
デプロイメント後に、証明書が追加され内容が正しいことを確認します。
oc exec <zync-pod-id> cat /etc/pki/tls/zync/zync.pem
新たな CA 証明書のバンドルをポイントするように、Zync の
SSL_CERT_FILE環境変数を設定します。oc set env dc/zync-que SSL_CERT_FILE=/etc/pki/tls/zync/zync.pem
