第3章 Red Hat Quay の認証局の追加
認証局 (CA) は、Red Hat Quay によって、ODIC プロバイダー、LDAP プロバイダー、ストレージプロバイダーなどの外部サービスとの SSL/TLS 接続を検証するために使用されます。
次のセクションでは、デプロイメントの種類に応じて、追加の CA を Red Hat Quay にアップロードする方法を説明します。
3.1. Red Hat Quay コンテナーへの認証局の追加
extra_ca_certs
ディレクトリーは、信頼できる証明書のセットを拡張するために認証局 (CA) を追加で保存できるディレクトリーです。これらの証明書は、Red Hat Quay によって外部サービスとの SSL/TLS 接続を検証するために使用されます。Red Hat Quay をデプロイするときに、必要な CA をこのディレクトリーに配置して、LDAP、OIDC、ストレージシステムなどのサービスへの接続が適切に保護され、検証されるようにすることができます。
スタンドアロンの Red Hat Quay デプロイメントの場合は、このディレクトリーを作成し、追加の CA 証明書をそのディレクトリーにコピーする必要があります。
前提条件
- 希望するサービス用の CA があります。
手順
次のコマンドを入力して、コンテナーに追加する証明書を表示します。
$ cat storage.crt
出力例
-----BEGIN CERTIFICATE----- MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV... -----END CERTIFICATE-----
次のコマンドを入力して、Red Hat Quay ディレクトリーの
/config
フォルダーにextra_ca_certs
を作成します。$ mkdir -p /path/to/quay_config_folder/extra_ca_certs
CA ファイルを
extra_ca_certs
フォルダーにコピーします。以下に例を示します。$ cp storage.crt /path/to/quay_config_folder/extra_ca_certs/
次のコマンドを入力して、
extra_ca_certs
フォルダー内にstorage.crt
ファイルが存在することを確認します。$ tree /path/to/quay_config_folder/extra_ca_certs
出力例
/path/to/quay_config_folder/extra_ca_certs ├── storage.crt----
次のコマンドを入力して、
Quay
のCONTAINER ID
を取得します。$ podman ps
出力例
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 5a3e82c4a75f <registry>/<repo>/quay:{productminv} "/sbin/my_init" 24 hours ago Up 18 hours 0.0.0.0:80->80/tcp, 0.0.0.0:443->443/tcp, 443/tcp grave_keller
次のコマンドを入力してコンテナーを再起動します。
$ podman restart 5a3e82c4a75f
次のコマンドを実行して、証明書がコンテナー名前空間にコピーされたことを確認します。
$ podman exec -it 5a3e82c4a75f cat /etc/ssl/certs/storage.pem
出力例
-----BEGIN CERTIFICATE----- MIIDTTCCAjWgAwIBAgIJAMVr9ngjJhzbMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV... -----END CERTIFICATE-----