8장. 인증서 관리
OpenShift Container Platform 클러스터의 라이프사이클 동안 인증서는 라이프사이클의 다양한 단계를 거칩니다. 다음 프로시저에서는 해당 라이프사이클의 다양한 부분을 관리하는 방법을 설명합니다.
인증서 만료 정보를 보고 인증서를 다시 배포하는 데 대한 자세한 내용은 인증서 재배포를 참조하십시오.
8.1. 애플리케이션의 자체 서명 인증서를 CA 서명 인증서로 변경
일부 애플리케이션 템플릿에서는 자체 서명된 인증서를 생성합니다. 그런 다음 애플리케이션에서 클라이언트에 직접 제공합니다. 예를 들어 기본적으로 OpenShift Container Platform Ansible 설치 프로그램 배포 프로세스의 일부로 메트릭 배포자가 자체 서명된 인증서를 생성합니다.
이러한 자체 서명된 인증서는 브라우저에서 인식되지 않습니다. 이 문제를 완화하려면 공개적으로 서명된 인증서를 사용한 다음 자체 서명된 인증서로 트래픽을 다시 암호화하도록 구성하십시오.
기존 경로를 삭제하십시오.
$ oc delete route hawkular-metrics -n openshift-infra
경로를 삭제한 상태에서, 재암호화 전략을 사용하여 새 경로에 사용될 인증서는 메트릭 배포자가 생성한 기존 와일드카드 및 자체 서명 인증서에서 어셈블해야 합니다. 다음 인증서를 사용할 수 있어야 합니다.
- 와일드카드 CA 인증서
- 와일드카드 개인 키
- 와일드카드 인증서
Hawkular CA 인증서
각 인증서는 파일 시스템에서 새 경로의 파일로 사용 가능해야 합니다.
다음 명령을 실행하여 Hawkular CA를 검색하고 파일에 저장할 수 있습니다.
$ oc get secrets hawkular-metrics-certs \ -n openshift-infra \ -o jsonpath='{.data.ca\.crt}' | base64 \ -d > hawkular-internal-ca.crt
- 와일드카드 개인 키, 인증서 및 CA 인증서를 찾으십시오. wildcard.key, wildcard.crt 및 wildcard.ca와 같은 개별 파일에 각각을 배치하십시오.
새로운 재암호화 경로를 생성하십시오.
$ oc create route reencrypt hawkular-metrics-reencrypt \ -n openshift-infra \ --hostname hawkular-metrics.ocp.example.com \ --key wildcard.key \ --cert wildcard.crt \ --ca-cert wildcard.ca \ --service hawkular-metrics \ --dest-ca-cert hawkular-internal-ca.crt
