第 2 章 添加可信证书颁发机构
了解如何在 Red Hat Advanced Cluster Security for Kubernetes 中添加自定义可信证书颁发机构。
如果您在网络或自签名证书中使用企业证书颁发机构(CA),您必须将 CA 的 root 证书添加到 Red Hat Advanced Cluster Security for Kubernetes 中作为可信 root CA。
添加可信 root CA 允许:
- 与其它工具集成时,中央和扫描器以信任远程服务器。
- 信任用于 Central 的自定义证书。
您可以在安装过程中或现有部署上添加额外的 CA。
注意
您必须首先在部署了 Central 的集群中配置可信 CA,然后将更改传播到 Scanner 和 Sensor。
2.1. 配置其他 CA
添加自定义 CA:
流程
下载
ca-setup.sh
脚本。注意-
如果要进行新安装,您可以在
scripts
目录中找到ca-setup.sh
脚本(central-bundle/central/scripts/ca-setup.sh
)。 -
您必须在登录到 OpenShift Container Platform 集群的同一终端中运行
ca-setup.sh
脚本。
-
如果要进行新安装,您可以在
使
ca-setup.sh
脚本可执行:$ chmod +x ca-setup.sh
要添加:
单个证书,使用
-f
(文件)选项:$ ./ca-setup.sh -f <certificate>
注意- 您必须使用 PEM 编码的证书文件(具有任何扩展名)。
-
您还可以使用
-u
(update)选项和-f
选项更新之前添加的任何证书。
一次性移动目录中的所有证书,然后使用
-d
(目录)选项:$ ./ca-setup.sh -d <directory_name>
注意-
您必须使用带有
.crt
或.pem
扩展名的 PEM 编码证书文件。 - 每个文件必须仅包含单个证书。
-
您还可以使用
-u
(更新)选项和-d
选项更新任何之前添加的证书。
-
您必须使用带有