第 8 章 管理证书


在 OpenShift Container Platform 集群的生命周期中,证书将进入其生命周期的不同阶段。以下流程描述了如何管理该生命周期的各个部分。

如需有关查看证书过期和重新部署证书的信息,请参阅重新部署证书。

8.1. 将应用程序的自签名证书改为 CA 签名证书

有些应用模板创建一个自签名证书,然后由应用程序直接向客户端提供该证书。例如,默认情况下,作为 OpenShift Container Platform Ansible 安装程序部署过程的一部分,指标部署器会创建自签名证书。

这些自签名证书不能被浏览器识别。要缓解这个问题,请使用公开签名的证书,然后将其配置为使用自签名证书重新加密流量。

  1. 删除现有路由:

    $ oc delete route hawkular-metrics -n openshift-infra

    删除路由后,需要使用 re-encrypt 策略的新路由中使用的证书必须从现有的通配符和指标部署器创建的自签名证书中编译。以下证书必须可用:

    • 通配符 CA 证书
    • 通配符私钥
    • 通配符证书
    • Hawkular CA 证书

      每个证书都必须作为新路由的文件系统中的文件使用。

      您可以执行以下命令,检索 Hawkular CA 并将其存储在文件中:

      $ oc get secrets hawkular-metrics-certs \
          -n openshift-infra \
          -o jsonpath='{.data.ca\.crt}' | base64 \
          -d > hawkular-internal-ca.crt
  2. 找到通配符私钥、证书和 CA 证书。每个都分别放在一个单独的文件中,如 wildcard.keywildcard.crtwildcard.ca
  3. 创建新的重新加密路由:

    $ oc create route reencrypt hawkular-metrics-reencrypt \
        -n openshift-infra \
        --hostname hawkular-metrics.ocp.example.com \
        --key wildcard.key \
        --cert wildcard.crt \
        --ca-cert wildcard.ca \
        --service hawkular-metrics \
        --dest-ca-cert hawkular-internal-ca.crt
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.