15.2. 원격 기본 인증 서버를 사용하여 인증서 생성 및 공유
기본적으로 /etc/ansible/hosts 로 Ansible 호스트 인벤토리 파일에 나열된 첫 번째 마스터 호스트에서 다음 단계를 완료합니다.
원격 기본 인증 서버와 OpenShift Container Platform 간의 통신이 신뢰할 수 있도록 하기 위해 이 설정의 다른 단계에서 사용할 일련의 TLS(Transport Layer Security) 인증서를 생성합니다. 다음 명령을 실행합니다.
# openshift start \ --public-master=https://openshift.example.com:8443 \ --write-config=/etc/origin/출력에는 /etc/origin/master/ca.crt 및 /etc/origin/master/ca.key 서명 인증서가 포함됩니다.
서명 인증서를 사용하여 원격 기본 인증 서버에서 사용할 키를 생성합니다.
# mkdir -p /etc/origin/remote-basic/ # oc adm ca create-server-cert \ --cert='/etc/origin/remote-basic/remote-basic.example.com.crt' \ --key='/etc/origin/remote-basic/remote-basic.example.com.key' \ --hostnames=remote-basic.example.com \ 1 --signer-cert='/etc/origin/master/ca.crt' \ --signer-key='/etc/origin/master/ca.key' \ --signer-serial='/etc/origin/master/ca.serial.txt'- 1
- 원격 기본 인증 서버에 액세스해야 하는 모든 호스트 이름 및 인터페이스 IP 주소의 쉼표로 구분된 목록입니다.
참고생성하는 인증서 파일은 2년 동안 유효합니다.
--expire-days 및값을 변경하여 이 기간을 변경할 수 있지만 보안상의 이유로 730보다 크게 만들지 마십시오.--signer-expire-days중요원격 기본 인증 서버에 액세스해야 하는 모든 호스트 이름 및 인터페이스 IP 주소를 나열하지 않으면 HTTPS 연결이 실패합니다.
필요한 인증서와 키를 원격 기본 인증 서버에 복사합니다.
# scp /etc/origin/master/ca.crt \ root@remote-basic.example.com:/etc/pki/CA/certs/ # scp /etc/origin/remote-basic/remote-basic.example.com.crt \ root@remote-basic.example.com:/etc/pki/tls/certs/ # scp /etc/origin/remote-basic/remote-basic.example.com.key \ root@remote-basic.example.com:/etc/pki/tls/private/
