7.2. 选择证书签发者
签发者指的是 cert-manager issuers 和 cluster issuers。它们通过遵守证书签名请求来代表可生成签名证书的证书颁发机构(CA)。如需更多信息,请参阅有关签发者的 cert-manager 文档。
根据您使用的加密功能,OpenShift Serverless 需要您的证书签发者能够签署某些证书。要识别您的证书签发者,请参阅 cert-manager integrations 列表,其中包含以下示例:
- 存储在 Kubernetes secret 中的自定义 CA
- HTTP-01 质询
- DNS-01 质询
- 自签名签发者
7.2.1. 兼容证书签发者
并非所有签发者类型都可用于每个 Knative Serving 加密功能。
对于 cluster-local 加密,签发者必须能够为以下 cluster-local 域类型签名证书:
-
myapp.<namespace> -
myapp.<namespace>.svc -
myapp.<namespace>.svc.cluster.local
由于 CA 通常不在集群中,因此无法使用自动证书管理环境(ACME)协议(DNS01/HTTP01)进行验证。您可以使用允许创建这些证书的签发者,如
cert-managerCA 签发者。-
对于系统内部加密,签发者必须能够使用以下主题备用名称(SAN)签署证书:
-
kn-routing -
格式
kn-user-<namespace>格式的名称,其中<namespace> 是创建 Knative 服务的命名空间 -
data-plane.knative.dev
Knative 要求这些 SAN 验证内部组件之间的连接。由于无法使用 ACME 协议(DNS01/HTTP01),所以您必须配置允许创建这些证书的签发者,如
cert-managerCA issuer。-
