3.2.16. 와일드카드 인증서 사용
인증서가 포함되지 않은 TLS 지원 경로에서는 라우터의 기본 인증서를 대신 사용합니다. 대부분의 경우 이 인증서는 신뢰할 수 있는 인증 기관에서 제공해야 하지만 편의를 위해 OpenShift Container Platform CA를 사용하여 인증서를 생성할 수 있습니다. 예를 들면 다음과 같습니다.
$ CA=/etc/origin/master
$ oc adm ca create-server-cert --signer-cert=$CA/ca.crt \
--signer-key=$CA/ca.key --signer-serial=$CA/ca.serial.txt \
--hostnames='*.cloudapps.example.com' \
--cert=cloudapps.crt --key=cloudapps.key참고
oc adm ca create-server-cert 명령은 2년 동안 유효한 인증서를 생성합니다. 이는 --expire-days 옵션으로 변경할 수 있지만 보안상의 이유로 이 값보다 커지지 않는 것이 좋습니다.
기본적으로 /etc/ansible/hosts 에서 Ansible 호스트 인벤토리 파일에 나열된 첫 번째 마스터에서만 oc adm 명령을 실행합니다.
라우터는 인증서와 키가 단일 파일에서 PEM 형식이어야 합니다.
$ cat cloudapps.crt cloudapps.key $CA/ca.crt > cloudapps.router.pem
여기에서 --default-cert 플래그를 사용할 수 있습니다.
$ oc adm router --default-cert=cloudapps.router.pem --service-account=router
참고
브라우저는 한 레벨의 하위 도메인에 유효한 와일드카드만 고려합니다. 이 예에서는 인증서가. cloudapps.example.com에 유효하지만, a. b.cloudapps.example.com에는 적용되지 않습니다.
