3.7.3.2. インポートされた証明書に関する問題のトラブルシューティング

OpenShift Dev Spaces インスタンスレベルでのインポート済み証明書の検証

• OpenShift Dev Spaces Operator デプロイメントの場合、CheCluster が配置されている namespace には、正しいコンテンツを含む、ラベル付きの ConfigMap オブジェクトが含まれます。

  $ oc get cm --selector=app.kubernetes.io/component=ca-bundle,app.kubernetes.io/part-of=che.eclipse.org -n openshift-devspaces

  Copy to Clipboard Toggle word wrap

  以下を入力して ConfigMap オブジェクトの内容を確認します。

  $ oc get cm <name> -n openshift-devspaces -o yaml

  Copy to Clipboard Toggle word wrap

• OpenShift Dev Spaces Pod ボリューム一覧には、ca-certs-merged ConfigMap オブジェクトをデータソースとして使用するボリュームが含まれます。OpenShift Dev Spaces Pod のボリュームのリストを取得するには:

  $ oc get pod -l app.kubernetes.io/component=devspaces -o "jsonpath={.items[0].spec.volumes}" -n openshift-devspaces

  Copy to Clipboard Toggle word wrap

• OpenShift Dev Spaces は、証明書を OpenShift Dev Spaces サーバーコンテナーの /public-certs/ フォルダーにマウントします。このフォルダー内のファイルのリストを表示するには、次のように入力します。

  $ oc exec -t deploy/devspaces -n openshift-devspaces -- ls /public-certs/

  Copy to Clipboard Toggle word wrap

• OpenShift Dev Spaces サーバーログに、設定された OpenShift Dev Spaces 証明書など、Java トラストストアに追加されたすべての証明書に対する行があります。次の表示:

  $ oc logs deploy/devspaces -n openshift-devspaces

  Copy to Clipboard Toggle word wrap

• OpenShift Dev Spaces サーバーの Java トラストストアに証明書が含まれます。証明書の SHA1 フィンガープリントは、トラストストアに含まれる証明書の SHA1 リストにあります。リストを表示します。

  $ oc exec -t deploy/devspaces -n openshift-devspaces -- keytool -list -keystore /home/user/cacerts
  Your keystore contains 141 entries:
  +
  (...)

  Copy to Clipboard Toggle word wrap

  ローカルファイルシステムの証明書の SHA1 ハッシュを取得するには、以下のコマンドを実行します。

  $ openssl x509 -in <certificate-file-path> -fingerprint -noout
  SHA1 Fingerprint=3F:DA:BF:E7:A7:A7:90:62:CA:CF:C7:55:0E:1D:7D:05:16:7D:45:60

  Copy to Clipboard Toggle word wrap

ワークスペースレベルでのインポート済み証明書の検証

• ワークスペースを起動し、これが作成されたプロジェクト名を取得し、ワークスペースが開始するまで待機します。

• ワークスペース Pod の名前を取得します。

  $ oc get pods -o=jsonpath='{.items[0].metadata.name}' -n <workspace namespace> | grep '^workspace.*'

  Copy to Clipboard Toggle word wrap

• ワークスペース Pod 内の Che-Theia IDE コンテナーの名前を取得します。

  $ oc get -o json pod <workspace pod name>  -n <workspace namespace> | \
      jq -r '.spec.containers[] | select(.name | startswith("theia-ide")).name'

  Copy to Clipboard Toggle word wrap

• ワークスペース namespace 内で che-trusted-ca-certs ConfigMap オブジェクトを検索します。

  $ oc get cm che-trusted-ca-certs -n <workspace namespace>

  Copy to Clipboard Toggle word wrap

• che-trusted-ca-certs ConfigMap オブジェクトのエントリーに、以前に追加した別のエントリーがすべて含まれていることを確認します。さらに、予約されている ca-bundle.crt エントリーが含まれる場合があります。エントリーを表示します。

  $ oc get cm che-trusted-ca-certs -n <workspace namespace> -o json | jq -r '.data | keys[]'
  ca-bundle.crt
  source-config-map-name.data-key.crt

  Copy to Clipboard Toggle word wrap

• che-trusted-ca-certs ConfigMap オブジェクトがワークスペース Pod のボリュームとして追加されていることを確認します。

  $ oc get -o json pod <workspace pod name> -n <workspace namespace> | \
      jq '.spec.volumes[] | select(.configMap.name == "che-trusted-ca-certs")'
  {
    "configMap": {
      "defaultMode": 420,
      "name": "ca-certs"
    },
    "name": "che-self-signed-certs"
  }

  Copy to Clipboard Toggle word wrap

• ボリュームがコンテナー (とくに Che-Theia IDE コンテナー) にマウントされていることを確認します。

  $ oc get -o json pod <workspace pod name> -n <workspace namespace> | \
     jq '.spec.containers[] | select(.name == "<theia ide container name>").volumeMounts[] | select(.name == "che-trusted-ca-certs")'
  {
    "mountPath": "/public-certs",
    "name": "che-trusted-ca-certs",
    "readOnly": true
  }

  Copy to Clipboard Toggle word wrap

• Che-Theia IDE コンテナーの /public-certs フォルダーを検査し、その内容が custom-certs ConfigMap オブジェクトのエントリーの一覧と一致するかどうかを確認します。

  $ oc exec <workspace pod name> -c <theia ide container name> -n <workspace namespace> -- ls /public-certs
  ca-bundle.crt
  source-config-map-name.data-key.crt

  Copy to Clipboard Toggle word wrap

関連情報

• 「自己署名証明書を使用した Git リポジトリーをサポートする OpenShift Dev Spaces のデプロイ」