サポートコンソール開発者トライアルの開始お問い合わせ

7.2. 証明書発行者の選択

発行者とは、cert-manager 発行者とクラスター発行者を指します。これらは、証明書署名要求に応じて署名付き証明書を生成できる認証局 (CA) を表します。詳細は、発行者に関する cert-manager のドキュメント を参照してください。

使用する暗号化機能に応じて、OpenShift Serverless では証明書発行者が特定の証明書に署名できることが必要です。証明書の発行者を特定するには、cert-manager インテグレーションのリスト を参照してください。このリストには、以下に関する例が含まれています。

  • Kubernetes シークレットに保存されたカスタム CA
  • HTTP-01 の課題
  • DNS-01 の課題
  • 自己署名発行者

7.2.1. 互換性のある証明書発行者

すべての発行者タイプが各 Knative Serving 暗号化機能で機能するわけではありません。

  • cluster-local 暗号化の場合、発行者は次の cluster-local ドメインタイプの証明書に署名できる必要があります。

    • myapp.<namespace>
    • myapp.<namespace>.svc
    • myapp.<namespace>.svc.cluster.local

    CA は通常クラスター内に存在しないため、Automated Certificate Management Environment (ACME) プロトコル (DNS01/HTTP01) を使用した検証は不可能です。cert-manager CA 発行者など、これらの証明書の作成を許可する発行者を使用できます。

  • system-internal 暗号化の場合、発行者は次のサブジェクト代替名 (SAN) を使用して証明書に署名できる必要があります。

    • kn-routing
    • kn-user-<namespace> 形式の名前。ここでの <namespace> は、Knative Services が作成される namespace です。
    • data-plane.knative.dev

    Knative では、内部コンポーネント間の接続を確認するためにこれらの SAN が必要です。ACME プロトコル (DNS01/HTTP01) を使用するとこれが不可能であるため、cert-manager CA 発行者など、これらの証明書の作成を許可する発行者を設定する必要があります。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.