第2章 信頼できる認証局の追加
カスタム信頼済み証明書を Red Hat Cluster Security for Kubernetes に追加する方法を学びます。
ネットワークでエンタープライズ認証局 (CA) または自己署名証明書を使用している場合は、CA のルート証明書を信頼されたルート CA として Red Hat Advanced Cluster Security for Kubernetes に追加する必要があります。
信頼できるルート CA を追加すると、次のことが可能になります。
- Central と Scanner は、他のツールと統合するときにリモートサーバーを信頼します。
- Central に使用するカスタム証明書を信頼する Sensor。
インストール中または既存のデプロイメントに CA を追加できます。
注記
まず、Central をデプロイしたクラスターで信頼できる CA を設定してから、変更を Scanner と Sensor に伝播する必要があります。
2.1. 追加の CA の設定
カスタム CA を追加するには:
手順
ca-setup.shスクリプトをダウンロードします。注記-
新規インストールを行う場合は、
ca-setup.shスクリプトがcentral-bundle/central/scripts/ca-setup.shのscriptsディレクトリーにあります。 -
OpenShift Container Platform クラスターにログインしたのと同じターミナルで
ca-setup.shスクリプトを実行する必要があります。
-
新規インストールを行う場合は、
ca-setup.shスクリプトを実行可能にします。$ chmod +x ca-setup.sh
以下を追加します:
単一の証明書。
-f(ファイル) オプションを使用します。$ ./ca-setup.sh -f <certificate>
注記- PEM でエンコードされた証明書ファイル (拡張子は任意) を使用する必要があります。
-
-u(更新) オプションを-fオプションと一緒に使用して、以前に追加された証明書を更新することもできます。
一度に複数の証明書を作成し、ディレクトリー内のすべての証明書を移動してから、
-d(ディレクトリー) オプションを使用します。$ ./ca-setup.sh -d <directory_name>
注記-
拡張子が
.crtまたは.pemの PEM エンコードされた証明書ファイルを使用する必要があります。 - 各ファイルには、1 つの証明書のみが含まれている必要があります。
-
-u(更新) オプションを-dオプションと一緒に使用して、以前に追加された証明書を更新することもできます。
-
拡張子が
