红帽全球峰会1.5. 使用您自己的可观察证书颁发机构 (CA) 证书
安装 Red Hat Advanced Cluster Management for Kubernetes 时,默认只为可观察性提供证书颁发机构 (CA)证书。如果您不想使用 Red Hat Advanced Cluster Management 生成的默认可观察性 CA 证书,您可以在启用可观察性前选择使用自己的可观察 CA 证书。
1.5.1. 使用 OpenSSL 命令生成 CA 证书
Observability 需要两个 CA 证书,一个用于服务器端,另一个用于客户端。
使用以下命令生成您的 CA RSA 私钥:
openssl genrsa -out serverCAKey.pem 2048 openssl genrsa -out clientCAKey.pem 2048
使用私钥生成自签名 CA 证书。运行以下命令:
openssl req -x509 -sha256 -new -nodes -key serverCAKey.pem -days 1825 -out serverCACert.pem openssl req -x509 -sha256 -new -nodes -key clientCAKey.pem -days 1825 -out clientCACert.pem
1.5.2. 创建与您自己的可观察 CA 证书关联的 secret
完成以下步骤以创建 secret:
使用您的证书和私钥创建
observability-server-ca-certssecret。运行以下命令:oc -n open-cluster-management-observability create secret tls observability-server-ca-certs --cert ./serverCACert.pem --key ./serverCAKey.pem
使用您的证书和私钥创建
observability-client-ca-certssecret。运行以下命令:oc -n open-cluster-management-observability create secret tls observability-client-ca-certs --cert ./clientCACert.pem --key ./clientCAKey.pem
1.5.3. 替换 rbac-query-proxy 路由的证书
您可以替换 rbac-query-proxy 路由的证书。请参阅使用 OpenSSL 命令创建证书生成 CA 证书。
当您使用 csr.cnf 文件创建证书签名请求(CSR)时,更新 subjectAltName 部分中的 DNS.1 字段,以匹配 rbac-query-proxy 路由的主机名。
完成以下步骤:
运行以下命令来检索主机名:
oc get route rbac-query-proxy -n open-cluster-management-observability -o jsonpath=" {.spec.host}"使用生成的证书创建
proxy-byo-casecret。运行以下命令:oc -n open-cluster-management-observability create secret tls proxy-byo-ca --cert ./ca.crt --key ./ca.key
运行以下命令,使用生成的证书创建
proxy-byo-certsecret:oc -n open-cluster-management-observability create secret tls proxy-byo-cert --cert ./ingress.crt --key ./ingress.key
1.5.4. 其他资源
- 请参阅 自定义路由认证。
- 请参阅 自定义用于访问对象存储的证书。
