7.2. 인증서 발행자 선택
발행자는 cert-manager 발행자 및 클러스터 발행자를 나타냅니다. 인증서 서명 요청을 준수하여 서명된 인증서를 생성할 수 있는 CA(인증 기관)를 나타냅니다. 자세한 내용은 발급자에 대한 cert-manager 설명서를 참조하십시오.
사용하는 암호화 기능에 따라 OpenShift Serverless에서 인증서 발행자가 특정 인증서에 서명할 수 있어야 합니다. 인증서 발행자를 식별하려면 다음 예제가 포함된 cert-manager 통합 목록을 참조하십시오.
- Kubernetes 보안에 저장된 사용자 정의 CA
- HTTP-01 과제
- DNS-01 과제
- 자체 서명된 발행자
7.2.1. 호환되는 인증서 발행자
각 Knative Serving 암호화 기능에 대해 모든 발급자 유형이 작동하는 것은 아닙니다.
클러스터 로컬 암호화의 경우 발급자는 다음 클러스터 로컬 도메인 유형의 인증서에 서명할 수 있어야 합니다.
-
myapp.<namespace> -
myapp.<namespace>.svc -
myapp.<namespace>.svc.cluster.local
일반적으로 CA는 클러스터 내에 없으므로 ACME(Automated Certificate Management Environment) 프로토콜(DNS01/HTTP01)을 사용하여 확인할 수 없습니다.
cert-managerCA 발행자와 같은 이러한 인증서를 생성할 수 있는 발급자를 사용할 수 있습니다.-
시스템 내부 암호화의 경우 발행자는 다음 SAN(Subject Alternative Names)을 사용하여 인증서에 서명할 수 있어야 합니다.
-
kn-routing -
kn-user-<namespace> 형식의 이름입니다. 여기서 <namespace>는 Knative 서비스가 생성되는 네임스페이스입니다. -
data-plane.knative.dev
Knative에는 내부 구성 요소 간 연결을 확인하려면 이러한 SAN이 필요합니다. ACME 프로토콜(DNS01/HTTP01)을 사용할 수 없으므로 이러한 인증서를 생성할 수 있는 발행자를 구성해야 합니다(예:
cert-managerCA 발행자).-
