4.6. 添加证书颁发机构捆绑包
MicroShift 在客户端评估服务器证书时使用主机信任捆绑包。您还可以使用自定义的安全证书链来改进端点证书与特定于部署的客户端的兼容性。要做到这一点,您可以将带有 root 和中间证书的证书颁发机构(CA)捆绑包添加到 Red Hat Enterprise Linux for Edge (RHEL for Edge)系统范围信任存储中。
4.6.1. 将证书颁发机构捆绑包添加到 rpm-ostree 镜像
您可以将额外的可信证书颁发机构(CA)包含在 Red Hat Enterprise Linux for Edge (RHEL for Edge) rpm-ostree
镜像中,方法是将它们添加到用于创建镜像的蓝图中。在从镜像 registry 中拉取镜像时,使用以下步骤设置操作系统信任的额外 CA。
此流程要求您在蓝图中配置 CA 捆绑包自定义,然后在 kickstart 文件中添加步骤以启用捆绑包。在以下步骤中,data
是键,< value&
gt; 代表 PEM 编码的证书。
先决条件
- 有访问构建主机的 root 用户。
- 您的构建主机满足 Image Builder 系统要求。
-
已安装并设置 Image Builder 和
composer-cli
工具。
流程
在蓝图中添加以下自定义值以添加目录。
在您的构建镜像的主机上为蓝图添加指令,以创建目录,例如:
/etc/pki/ca-trust/source/anchors/
用于证书捆绑包。[[customizations.directories]] path = "/etc/pki/ca-trust/source/anchors"
镜像引导后,创建证书捆绑包,如
/etc/pki/ca-trust/source/anchors/cert1.pem
:[[customizations.files]] path = "/etc/pki/ca-trust/source/anchors/cert1.pem" data = "<value>"
要在系统范围的信任存储配置中启用证书捆绑包,请在您要使用的镜像的主机上使用
update-ca-trust
命令,例如:$ sudo update-ca-trust
update-ca-trust
命令可能包含在用于 MicroShift 主机安装的 kickstart 文件的 %post
部分中,以便在第一次引导时启用所有必需的证书信任。在向 kickstart 文件中添加步骤前,您必须在蓝图中配置 CA 捆绑包自定义,以启用捆绑包。
%post # Update certificate trust storage in case new certificates were # installed at /etc/pki/ca-trust/source/anchors directory update-ca-trust %end