红帽全球峰会This documentation is for a release that is no longer maintained
See documentation for the latest supported version.3.7.3. 将不信任的 TLS 证书导入到 OpenShift Dev Spaces
默认情况下,OpenShift Dev Spaces 组件之间的外部通信通过 TLS 加密。OpenShift Dev Spaces 组件与代理、源代码存储库和身份提供程序等外部服务的通信可能还需要 TLS。所有使用 TLS 加密的通信都需要使用由可信证书颁发机构(CA)签名的 TLS 证书。
当 OpenShift Dev Spaces 组件或外部服务使用的证书由不信任的 CA 签名时,您必须将 CA 证书导入到 OpenShift Dev Spaces 实例,以便每个 OpenShift Dev Spaces 组件将证书视为可信 CA 签名。您必须在以下情况下完成此操作:
- 底层 OpenShift 集群使用由不受信任的 CA 签名的 TLS 证书。OpenShift Dev Spaces 服务器或工作空间组件连接到外部 OIDC 供应商或使用由不受信任的 CA 签名的 TLS 证书的 Git 服务器。
OpenShift Dev Spaces 使用项目中标记的 ConfigMap 对象作为 TLS 证书的源。ConfigMap 对象可以有任意数量的密钥,各自具有随机数量的证书。
当 OpenShift 集群包含通过 集群范围的代理配置添加的集群范围 可信 CA 证书时,OpenShift Dev Spaces Operator 会检测到它们并自动注入 ConfigMap 对象。OpenShift Dev Spaces 会自动使用 config.openshift.io/inject-trusted-cabundle="true" 标签标记 ConfigMap。基于此注解,OpenShift 会在 ConfigMap 对象的 ca-bundle.crt 键内自动注入集群范围的可信 CA 证书。
一些 OpenShift Dev Spaces 组件需要一个完整的证书链来信任端点。如果使用中间证书配置集群,请将整个链(包括自签名 root)添加到 OpenShift Dev Spaces。
3.7.3.1. 在 OpenShift Dev Spaces 中添加新 CA 证书
证书文件通常存储为 Base64 文件,扩展带有 .pem、.crt、.ca-bundle 等等。包含证书文件的所有 secret 应该使用 Base64 编码的证书,而不是二进制编码的证书。以下流程适用于已安装和运行的实例,以及要安装的实例。
先决条件
-
具有目标 OpenShift 集群的管理权限的活跃
oc会话。请参阅 CLI 入门。 - 存在 OpenShift Dev Spaces 的命名空间。
OpenShift Dev Spaces 已经使用一些保留的文件名自动将证书注入
ConfigMap对象中。避免使用以下保留文件名保存您的证书:-
ca-bundle.crt -
ca.crt
-
流程
保存导入本地文件系统所需的证书。
Important具有简介短语
BEGIN TRUSTED CERTIFICATECERTIFICATE 的证书可能包括在 PEMTRUSTED CERTIFICATE格式,它不会被 Java 不支持。使用以下命令将其转换为支持的CERTIFICATE格式:-
openssl x509 -in cert.pem -out cert.cer
-
使用所需的 TLS 证书创建新
ConfigMap对象:oc create configmap custom-certs --from-file=<bundle-file-path> -n=openshift-devspaces
$ oc create configmap custom-certs --from-file=<bundle-file-path> -n=openshift-devspacesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要应用多个捆绑包,请添加另一个
-from-file= <bundle_file_path>。另外,还可创建另一个ConfigMap对象。使用
app.kubernetes.io/part-of=che.eclipse.org和app.kubernetes.io/component=ca-bundle标签标记创建的ConfigMap对象:oc label configmap custom-certs app.kubernetes.io/part-of=che.eclipse.org app.kubernetes.io/component=ca-bundle -n openshift-devspaces
$ oc label configmap custom-certs app.kubernetes.io/part-of=che.eclipse.org app.kubernetes.io/component=ca-bundle -n openshift-devspacesCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 如果 OpenShift Dev Spaces 之前没有部署,则部署 OpenShift Dev Spaces。否则等待 OpenShift Dev Spaces 推出完成。
- 重启正在运行的工作区以使更改生效。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}