4.6. 認証局バンドルの追加
MicroShift は、クライアントがサーバー証明書を評価するときにホスト信頼バンドルを使用します。カスタマイズされたセキュリティー証明書チェーンを使用して、デプロイメント固有のクライアントとエンドポイント証明書の互換性を向上させることもできます。これを行うには、ルート証明書と中間証明書を含む認証局 (CA) バンドルを Red Hat Enterprise Linux for Edge (RHEL for Edge) システム全体の信頼ストアに追加できます。
4.6.1. rpm-ostree イメージへの認証局バンドルの追加
イメージの作成に使用するブループリントに別の信頼できる認証局 (CA) を追加することで、Red Hat Enterprise Linux for Edge (RHEL for Edge) rpm-ostree イメージに追加の信頼できる認証局 (CA) を含めることができます。次の手順を使用すると、イメージレジストリーからイメージを取得するときにオペレーティングシステムによって信頼される別の CA が設定されます。
この手順では、ブループリントで CA バンドルのカスタマイズを設定してから、キックスタートファイルに手順を追加してバンドルを有効にする必要があります。次の手順では、data がキーで、<value> は PEM エンコードされた証明書を表します。
前提条件
- ビルドホストへの root ユーザーアクセス権がある。
- ビルドホストが Image Builder のシステム要件を満たしている。
-
Image Builder と
composer-cliツールをインストールしてセットアップしている。
手順
次のカスタム値をブループリントに追加して、ディレクトリーを追加します。
イメージがビルドされるホスト上のブループリントに指示を追加して、証明書バンドル用のディレクトリー
(/etc/pki/ca-trust/source/anchors/など) を作成します。[[customizations.directories]] path = "/etc/pki/ca-trust/source/anchors"
イメージが起動したら、証明書バンドル (
/etc/pki/ca-trust/source/anchors/cert1.pemなど) を作成します。[[customizations.files]] path = "/etc/pki/ca-trust/source/anchors/cert1.pem" data = "<value>"
システム全体のトラストストア設定で証明書バンドルを有効にするには、以下のように、使用しているイメージが起動されているホストで
update-ca-trustコマンドを使用します。$ sudo update-ca-trust
update-ca-trust コマンドは、MicroShift ホストのインストールに使用されるキックスタートファイルの %post セクションに含まれている場合があります。この設定により、最初の起動時に必要なすべての証明書の信頼が有効になります。キックスタートファイルに手順を追加してバンドルを有効にする前に、ブループリントで CA バンドルのカスタマイズを設定する必要があります。
%post # Update certificate trust storage in case new certificates were # installed at /etc/pki/ca-trust/source/anchors directory update-ca-trust %end
