12.4. 将 3scale 与红帽单点登录集成为 OpenID Connect 身份提供程序

步骤

1. 以 .pem 格式获取 CA 证书链，并将每个证书保存为单独的文件，例如： customCA1.pem、customCA2.pem 等等。

2. 测试各个证书文件，以确认它是有效的 CA。例如：

   openssl x509 -in customCA1.pem -noout -text | grep "CA:"

   这会输出 CA:TRUE 或 CA:FALSE。您想要输出为每个证书文件 CA:TRUE。如果输出为 CA:FALSE，则证书不是有效的 CA。

3. 使用以下命令验证各个 证书文件。例如：

   curl -v https://<secure-sso-host>/auth/realms/master --cacert customCA1.pem

   将 <secure-sso-host > 替换为 RH-SSO 主机的完全限定域名。

   预期的响应是 RH-SSO 域的 JSON 配置。如果验证失败您的证书可能不正确。

4. 在 zync-que pod 中收集 /etc/pki/tls/cert.pem 文件的现有内容：

   oc exec <zync-que-pod-id> -- cat /etc/pki/tls/cert.pem > zync.pem

5. 将每个自定义 CA 证书文件的内容附加到 zync.pem 中，例如：

   cat customCA1.pem customCA2.pem ... >> zync.pem

6. 将新文件附加到 zync-que pod 作为 configmap 对象：

   oc create configmap zync-ca-bundle --from-file=./zync.pem
   oc set volume dc/zync-que --add --name=zync-ca-bundle --mount-path /etc/pki/tls/zync/zync.pem --sub-path zync.pem --source='{"configMap":{"name":"zync-ca-bundle","items":[{"key":"zync.pem","path":"zync.pem"}]}}'

   这会完成将证书捆绑包添加到 zync-que pod。

7. 验证证书是否已附加且内容正确：

   oc exec <zync-que-pod-id> -- cat /etc/pki/tls/zync/zync.pem

8. 在 Zync 上配置 SSL_CERT_FILE 环境变量以指向新的 CA 证书捆绑包：

   oc set env dc/zync-que SSL_CERT_FILE=/etc/pki/tls/zync/zync.pem