第 4 章 配置自定义证书颁发机构
您可以在 MicroShift 服务使用自定义证书颁发机构(CA)来加密连接。
4.1. 自定义证书颁发机构在 MicroShift 中的工作方式
默认 API 服务器证书由内部 MicroShift 集群证书颁发机构(CA)发布。默认情况下,集群外的客户端无法验证 API 服务器证书。此证书可以替换为外部由客户端信任的自定义 CA 发布的自定义服务器证书。以下步骤演示了 MicroShift 中的工作流:
- 将证书和密钥复制到主机操作系统中的首选目录中。确保只有 root 用户可以访问这些文件。
通过在 MicroShift
/etc/microshift/config.yaml配置文件中指定证书名称和新的完全限定域名(FQDN)来更新每个自定义 CA 的 MicroShift 配置。每个证书配置都可以包含以下值:
- 证书文件位置是一个必需的值。
包含 API 服务器 DNS 和 IP 地址或 IP 地址范围的一个通用名称。
提示在大多数情况下,MicroShift 为自定义 CA 生成新的
kubeconfig,其中包含您指定的 IP 地址或范围。例外是在为 IP 地址指定通配符时。在这种情况下,MicroShift 会生成一个kubeconfig,其中包含服务器的公共 IP 地址。要使用通配符,您必须使用特定详情更新kubeconfig文件。- 多个主题备用名称(SAN),其中包含 API 服务器 DNS 和 IP 地址或通配符证书。
- 您可以为每个证书提供额外的 DNS 名称。
-
MicroShift 服务重启后,您必须将生成的
kubeconfig文件复制到客户端。 - 在客户端系统上配置额外的 CA。例如,您可以更新 Red Hat Enterprise Linux (RHEL)信任存储中的 CA 捆绑包。
- 证书和密钥从主机上的指定文件位置读取。配置测试和验证通过客户端完成。
- 外部服务器证书不会自动续订。您必须手动轮转外部证书。
注意
如果任何验证失败,MicroShift 服务会跳过自定义配置,并使用默认证书启动。优先级是继续服务不间断。MicroShift 在服务启动时记录错误。常见错误包括过期的证书、缺失的文件或不正确的 IP 地址。
重要
自定义服务器证书必须针对主机操作系统信任根中配置的 CA 数据进行验证。如需更多信息,请参阅 系统范围的信任存储。
