9.5. 발급자를 사용하여 인증서 구성
cert-manager Operator for Red Hat OpenShift를 사용하면 인증서와 인증서를 관리하고 갱신 및 발급과 같은 작업을 처리하며 클러스터 내 워크로드에 대해 클러스터 내부 및 클러스터 외부에서 상호 작용하는 구성 요소를 관리할 수 있습니다.
9.5.1. 사용자 워크로드에 대한 인증서 생성
사전 요구 사항
-
cluster-admin
권한이 있는 클러스터에 액세스할 수 있습니다. - cert-manager Operator for Red Hat OpenShift가 설치되어 있습니다.
프로세스
- 발행자를 생성합니다. 자세한 내용은 "추가 리소스" 섹션의 "문제 구성"을 참조하십시오.
인증서를 생성합니다.
Certificate
오브젝트를 정의하는 YAML 파일(예:certificate.yaml
)을 생성합니다.certificate.yaml
파일 예apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: <tls_cert> 1 namespace: <issuer_namespace> 2 spec: isCA: false commonName: '<common_name>' 3 secretName: <secret_name> 4 dnsNames: - "<domain_name>" 5 issuerRef: name: <issuer_name> 6 kind: Issuer
다음 명령을 실행하여
Certificate
오브젝트를 생성합니다.$ oc create -f certificate.yaml
검증
다음 명령을 실행하여 인증서가 생성되고 사용할 준비가 되었는지 확인합니다.
$ oc get certificate -w -n <issuer_namespace>
인증서가
Ready
상태가 되면 클러스터의 워크로드가 생성된 인증서 시크릿을 사용할 수 있습니다.
9.5.2. API 서버에 대한 인증서 생성
사전 요구 사항
-
cluster-admin
권한이 있는 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.13.0 이상이 설치되어 있어야 합니다.
프로세스
- 발행자를 생성합니다. 자세한 내용은 "추가 리소스" 섹션의 "문제 구성"을 참조하십시오.
인증서를 생성합니다.
Certificate
오브젝트를 정의하는 YAML 파일(예:certificate.yaml
)을 생성합니다.certificate.yaml
파일 예apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: <tls_cert> 1 namespace: openshift-config spec: isCA: false commonName: "api.<cluster_base_domain>" 2 secretName: <secret_name> 3 dnsNames: - "api.<cluster_base_domain>" 4 issuerRef: name: <issuer_name> 5 kind: Issuer
다음 명령을 실행하여
Certificate
오브젝트를 생성합니다.$ oc create -f certificate.yaml
- certificate라는 API 서버를 추가합니다. 자세한 내용은 "추가 리소스" 섹션의 "인증서라는 API 서버 추가" 섹션을 참조하십시오.
인증서가 업데이트되었는지 확인하려면 인증서가 생성된 후 oc login
명령을 다시 실행합니다.
검증
다음 명령을 실행하여 인증서가 생성되고 사용할 준비가 되었는지 확인합니다.
$ oc get certificate -w -n openshift-config
인증서가
Ready
상태가 되면 클러스터의 API 서버가 생성된 인증서 보안을 사용할 수 있습니다.
9.5.3. Ingress 컨트롤러의 인증서 생성
사전 요구 사항
-
cluster-admin
권한이 있는 클러스터에 액세스할 수 있습니다. - Red Hat OpenShift용 cert-manager Operator 버전 1.13.0 이상이 설치되어 있어야 합니다.
프로세스
- 발행자를 생성합니다. 자세한 내용은 "추가 리소스" 섹션의 "문제 구성"을 참조하십시오.
인증서를 생성합니다.
Certificate
오브젝트를 정의하는 YAML 파일(예:certificate.yaml
)을 생성합니다.certificate.yaml
파일 예apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: <tls_cert> 1 namespace: openshift-ingress spec: isCA: false commonName: "apps.<cluster_base_domain>" 2 secretName: <secret_name> 3 dnsNames: - "apps.<cluster_base_domain>" 4 - "*.apps.<cluster_base_domain>" 5 issuerRef: name: <issuer_name> 6 kind: Issuer
다음 명령을 실행하여
Certificate
오브젝트를 생성합니다.$ oc create -f certificate.yaml
- 기본 수신 인증서를 교체합니다. 자세한 내용은 "추가 리소스" 섹션의 "기본 수신 인증서 교체" 섹션을 참조하십시오.
검증
다음 명령을 실행하여 인증서가 생성되고 사용할 준비가 되었는지 확인합니다.
$ oc get certificate -w -n openshift-ingress
인증서가
Ready
상태가 되면 클러스터의 Ingress 컨트롤러가 생성된 인증서 보안을 사용할 수 있습니다.