第 6 章配置自定义 PKI

为确保内部组件之间的安全通信，您的 OpenShift Container Platform 集群使用一组共享的可信证书颁发机构(CA)。如果您的组织使用自己的私有证书（自定义 PKI），您必须将 CA 添加到集群中，以便所有组件都信任它。

您可以通过两种方式之一将自定义 CA 证书添加到集群范围的信任存储中：

在集群安装过程中，通过将 CA 证书添加到 install-config.yaml 文件中。
在运行的集群中，通过创建一个包含 CA 证书的 ConfigMap 对象并在 cluster Proxy 对象中引用它。

重要

cluster Proxy 对象是管理集群范围的信任存储的机制。本指南重点介绍添加 CA 的任务。如果您还需要配置出口代理，请参阅"配置集群范围代理"章节以了解详细信息。

6.1. 在集群安装过程中添加自定义 CA
复制链接

您可以通过在 install-config.yaml 文件中提供证书，在安装过程中将自定义 CA 添加到集群范围的信任存储中。

此流程使用 additionalTrustBundle 参数。如果也要配置出口代理，可以在 install-config.yaml 文件中添加此参数以及代理配置。有关可用代理设置的更多信息，请参阅"配置集群范围代理"章节。

先决条件

您可以访问集群安装的 install-config.yaml 文件。
您有自定义 CA 证书可以采用 PEM 编码的格式。

流程

打开 install-config.yaml 文件。

使用 PEM 编码的 CA 证书添加 additionalTrustBundle 参数：

apiVersion: v1
baseDomain: my.domain.com
metadata:
  name: my-cluster
additionalTrustBundle: | 
  -----BEGIN CERTIFICATE-----
  <MY_PEM_ENCODED_CA_CERT>
  -----END CERTIFICATE-----

apiVersion: v1
baseDomain: my.domain.com
metadata:
  name: my-cluster
additionalTrustBundle: |


  -----BEGIN CERTIFICATE-----
  <MY_PEM_ENCODED_CA_CERT>
  -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

1: additionalTrustBundle 参数包含您希望集群信任的自定义 CA 证书。安装程序使用证书在 openshift-config 命名空间中生成 user-ca-bundle ConfigMap 对象。

保存 install-config.yaml 文件，并继续集群安装。

在安装过程中，Cluster Network Operator (CNO)将您提供的证书与系统的默认信任捆绑包合并。这个过程使您的自定义 CA 在整个集群中信任。

返回顶部

第 6 章配置自定义 PKI

6.1. 在集群安装过程中添加自定义 CA
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章 配置自定义 PKI

6.1. 在集群安装过程中添加自定义 CA复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章配置自定义 PKI

6.1. 在集群安装过程中添加自定义 CA
复制链接