主页
产品
Red Hat build of MicroShift
4.19
配置
7.2. 配置 TLS 安全配置集

7.2. 配置 TLS 安全配置集

使用传输层安全(TLS)协议帮助防止已知的不安全协议、密码或算法访问您在 MicroShift 上运行的应用程序。

7.2.1. 在 MicroShift 中使用 TLS
复制链接

传输层安全(TLS)配置集为服务器提供了一种方式，以规范客户端在连接到服务器时可以使用哪些密码。使用 TLS 有助于确保 MicroShift 应用程序使用加密库，它们不允许已知的不安全协议、密码或算法。您可以在 MicroShift 中使用 TLS 1.2 或 TLS 1.3 安全配置集。

MicroShift API 服务器密码套件会自动应用到以下内部 control plane 组件：

API Server
Kubelet
kube 控制器管理器
kube 调度程序
etcd
路由控制器管理器

API 服务器使用配置的最低 TLS 版本和相关密码套件。如果将 cipher suites 参数留空，则会自动使用配置的最小版本的默认值。

TLS 1.2 的默认密码套件

以下列表指定 TLS 1.2 的默认密码套件：

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS 1.3 的默认密码套件

以下列表指定 TLS 1.3 的默认密码套件：

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256

7.2.2. 为 MicroShift 配置 TLS
复制链接

您可以选择使用带有 MicroShift 的 TLS 1.2 或 TLS 1.3 安全配置集进行系统强化。

先决条件

您可以使用 root 用户身份访问集群。
MicroShift 尚未首次启动，或者已停止。
已安装 OpenShift CLI (oc)。
证书颁发机构已发布自定义证书(CA)。

流程

在 /etc/microshift/ 目录中生成提供的 config.yaml.default 文件的副本，将它重命名为 config.yaml。
将新的 MicroShift config.yaml 保留在 /etc/microshift/ 目录中。MicroShift 服务每次启动时都会读取 config.yaml 文件。
注意
创建后，config.yaml 文件优先于内置设置。
可选：如果使用现有的 MicroShift YAML，请使用配置片断。如需更多信息，请参阅附加资源部分中的"使用配置片断"。
将 MicroShift YAML 的 tls 部分中的默认值替换为您的有效值。
TLS 1.2 配置示例
```
apiServer:
# ...
  tls:
    cipherSuites: 
    - <cipher_suite_1> 
    - ...
    minVersion: VersionTLS12 
# ...
```
```
apiServer:
# ...
  tls:
    cipherSuites: 
```
1
```
    - <cipher_suite_1> 
```
2
```
    - ...
    minVersion: VersionTLS12 
```
3
```
# ...
```
Copy to Clipboard Toggle word wrap
1
默认为配置的 minVersion 的套件。如果没有配置 minVersion，则默认值为 TLS 1.2。
2
从支持的密码套件列表中指定要使用的密码套件。如果没有配置此列表，则会使用所有支持的密码套件。连接到 API 服务器的所有客户端都必须支持配置的密码套件，或者连接在 TLS 握手阶段会失败。务必将 CA 证书捆绑包添加到 TLS 客户端或服务器信任的 CA 证书列表中。
3
指定 VersionTLS12 或 VersionTLS13。
重要
当您选择 TLS 1.3 作为最小 TLS 版本时，只能使用默认的 MicroShift 密码套件。额外的密码套件不可配置。如果配置了用于 TLS 1.3 的其他密码套件，则这些套件将被忽略，并被 MicroShift 默认值覆盖。
运行以下命令完成任何其他额外配置，然后运行以下命令来重启 MicroShift：
```
sudo systemctl restart microshift
```
```
$ sudo systemctl restart microshift
```
Copy to Clipboard Toggle word wrap

7.2.2.1. 默认密码套件
复制链接

MicroShift 包含用于 TLS 1.2 和 TLS 1.3 的默认密码套件。TLS 1.3 的密码套件无法自定义。

TLS 1.2 的默认密码套件

以下列表指定 TLS 1.2 的默认密码套件：

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS 1.3 的默认密码套件

以下列表指定 TLS 1.3 的默认密码套件：

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256

返回顶部

7.2. 配置 TLS 安全配置集

7.2.1. 在 MicroShift 中使用 TLS
复制链接

7.2.2. 为 MicroShift 配置 TLS
复制链接

7.2.2.1. 默认密码套件
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.2. 配置 TLS 安全配置集

7.2.1. 在 MicroShift 中使用 TLS复制链接链接已复制到粘贴板!

7.2.2. 为 MicroShift 配置 TLS复制链接链接已复制到粘贴板!

7.2.2.1. 默认密码套件复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

7.2.1. 在 MicroShift 中使用 TLS
复制链接

7.2.2. 为 MicroShift 配置 TLS
复制链接

7.2.2.1. 默认密码套件
复制链接