4.6. 添加证书颁发机构捆绑包


MicroShift 在客户端评估服务器证书时使用主机信任捆绑包。您还可以使用自定义的安全证书链来改进端点证书与特定于部署的客户端的兼容性。要做到这一点,您可以将带有 root 和中间证书的证书颁发机构(CA)捆绑包添加到 Red Hat Enterprise Linux for Edge (RHEL for Edge)系统范围信任存储中。

4.6.1. 将证书颁发机构捆绑包添加到 rpm-ostree 镜像

您可以将额外的可信证书颁发机构(CA)包含在 Red Hat Enterprise Linux for Edge (RHEL for Edge) rpm-ostree 镜像中,方法是将它们添加到用于创建镜像的蓝图中。在从镜像 registry 中拉取镜像时,使用以下步骤设置操作系统信任的额外 CA。

注意

此流程要求您在蓝图中配置 CA 捆绑包自定义,然后在 kickstart 文件中添加步骤以启用捆绑包。在以下步骤中,data 是键,< value& gt; 代表 PEM 编码的证书。

先决条件

  • 有访问构建主机的 root 用户。
  • 您的构建主机满足 Image Builder 系统要求。
  • 已安装并设置 Image Builder 和 composer-cli 工具。

流程

  1. 在蓝图中添加以下自定义值以添加目录。

    1. 在您的构建镜像的主机上为蓝图添加指令,以创建目录,例如: /etc/pki/ca-trust/source/anchors/ 用于证书捆绑包。

      [[customizations.directories]]
      path = "/etc/pki/ca-trust/source/anchors"
    2. 镜像引导后,创建证书捆绑包,如 /etc/pki/ca-trust/source/anchors/cert1.pem

      [[customizations.files]]
      path = "/etc/pki/ca-trust/source/anchors/cert1.pem"
      data = "<value>"
  2. 要在系统范围的信任存储配置中启用证书捆绑包,请在您要使用的镜像的主机上使用 update-ca-trust 命令,例如:

    $ sudo update-ca-trust
注意

update-ca-trust 命令可能包含在用于 MicroShift 主机安装的 kickstart 文件的 %post 部分中,以便在第一次引导时启用所有必需的证书信任。在向 kickstart 文件中添加步骤前,您必须在蓝图中配置 CA 捆绑包自定义,以启用捆绑包。

%post
# Update certificate trust storage in case new certificates were
# installed at /etc/pki/ca-trust/source/anchors directory
update-ca-trust
%end
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.