9.3. 将证书添加到集群范围的 CA 捆绑包中

您可以将自签名证书添加到集群范围的证书颁发机构(CA)捆绑包(ca-bundle.crt)中。

更新集群范围的 CA 捆绑包时，Cluster Network Operator (CNO)会自动检测到更改，并将更新的捆绑包注入 odh-trusted-ca-bundle ConfigMap 中，使证书可用于 OpenShift AI 组件。

注：默认情况下，受信任的 CA 捆绑包的管理状态是 Managed （即 Red Hat OpenShift AI Operator 的 DSCI 对象中的 spec.trustedCABundle.managementState 字段被设置为 Managed）。如果将此设置更改为 Unmanaged，则必须手动更新 odh-trusted-ca-bundle ConfigMap 使其包含更新的集群范围的 CA 捆绑包。

或者，您可以将证书添加到自定义 CA 捆绑包中，如将证书添加到自定义 CA 捆绑包中所述。

先决条件

您已创建了自签名证书并将证书保存到文件中。例如，您已使用 OpenSSL 创建证书并将其保存到名为 example-ca.crt 的文件中。
对于安装了 Red Hat OpenShift AI 的 OpenShift 集群，具有集群管理员访问权限。
已安装 OpenShift 命令行界面(CLI)。请参阅安装 OpenShift CLI。

流程

创建包含用于为证书签名的 root CA 证书的 ConfigMap，其中 &lt ;/path/to/example-ca.crt > 是本地文件系统中 CA 证书捆绑包的路径：

oc create configmap custom-ca \
 	--from-file=ca-bundle.crt=</path/to/example-ca.crt> \
 	-n openshift-config

oc create configmap custom-ca \
 	--from-file=ca-bundle.crt=</path/to/example-ca.crt> \
 	-n openshift-config

Copy to Clipboard

Toggle word wrap

使用新创建的 ConfigMap 更新集群范围代理配置：

oc patch proxy/cluster \
    	 --type=merge \
   	 --patch='{"spec":{"trustedCA":{"name":"custom-ca"}}}'

oc patch proxy/cluster \
    	 --type=merge \
   	 --patch='{"spec":{"trustedCA":{"name":"custom-ca"}}}'

Copy to Clipboard

Toggle word wrap

验证

运行以下命令，以验证所有非保留命名空间都包含 odh-trusted-ca-bundle ConfigMap:

oc get configmaps --all-namespaces -l app.kubernetes.io/part-of=opendatahub-operator | grep odh-trusted-ca-bundle

oc get configmaps --all-namespaces -l app.kubernetes.io/part-of=opendatahub-operator | grep odh-trusted-ca-bundle

Copy to Clipboard

Toggle word wrap

其他资源

Red Hat OpenShift Container Platform 安全和合规性 指南中的配置证书
Red Hat OpenShift Service on AWS Operator 指南中的注入自定义 CA Bundle 部分
Red Hat OpenShift Dedicated Operator 指南中的注入自定义 CA 捆绑包

返回顶部

9.3. 将证书添加到集群范围的 CA 捆绑包中

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links