第 5 章 使用您自己的证书颁发机构捆绑包

流程

1. 从命令行登录到 OpenShift：

   语法

   oc login --token=TOKEN --server=SERVER_URL_AND_PORT

   Example

   $ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443

   注意

   您可以从 OpenShift Web 控制台找到用于命令行的登录令牌和 URL。登录 OpenShift Web 控制台。单击您的用户名，然后单击 Copy login command。如果被要求，再次提供您的用户名和密码，然后单击 Display Token 以查看该命令。

2. 切换到 RHTAS 项目：

   Example

   $ oc project trusted-artifact-signer

3. 使用机构的 CA root 证书捆绑包创建新 ConfigMap：

   Example

   $ oc create configmap custom-ca-bundle --from-file=ca-bundle.crt

   重要

   证书文件名必须是 ca-bundle.crt。

4. 打开 Securesign 资源进行编辑：

   Example

   $ oc edit Securesign securesign-sample

   1. 在 metadata.annotations 部分下添加 rhtas.redhat.com/trusted-ca ：

      Example

      apiVersion: rhtas.redhat.com/v1alpha1
      kind: Securesign
      metadata:
        name: example-instance
        annotations:
      	rhtas.redhat.com/trusted-ca: custom-ca-bundle
      spec:
      ...

   2. 保存并退出编辑器。

5. 打开 Fulcio 资源进行编辑：

   Example

   $ oc edit Fulcio securesign-sample

   1. 在 metadata.annotations 部分下添加 rhtas.redhat.com/trusted-ca ：

      Example

      apiVersion: rhtas.redhat.com/v1alpha1
      kind: Fulcio
      metadata:
        name: example-instance
        annotations:
          rhtas.redhat.com/trusted-ca: custom-ca-bundle
      spec:
      ...

   2. 保存并退出编辑器。
6. 在签名和验证工件前，等待 RHTAS 操作器重新配置。