第 8 章 管理证书
在 OpenShift Container Platform 集群的生命周期中,证书将进入其生命周期的不同阶段。以下流程描述了如何管理该生命周期的各个部分。
如需有关查看证书过期和重新部署证书的信息,请参阅重新部署证书。
8.1. 将应用程序的自签名证书改为 CA 签名证书
有些应用模板创建一个自签名证书,然后由应用程序直接向客户端提供该证书。例如,默认情况下,作为 OpenShift Container Platform Ansible 安装程序部署过程的一部分,指标部署器会创建自签名证书。
这些自签名证书不能被浏览器识别。要缓解这个问题,请使用公开签名的证书,然后将其配置为使用自签名证书重新加密流量。
删除现有路由:
$ oc delete route hawkular-metrics -n openshift-infra
删除路由后,需要使用 re-encrypt 策略的新路由中使用的证书必须从现有的通配符和指标部署器创建的自签名证书中编译。以下证书必须可用:
- 通配符 CA 证书
- 通配符私钥
- 通配符证书
Hawkular CA 证书
每个证书都必须作为新路由的文件系统中的文件使用。
您可以执行以下命令,检索 Hawkular CA 并将其存储在文件中:
$ oc get secrets hawkular-metrics-certs \ -n openshift-infra \ -o jsonpath='{.data.ca\.crt}' | base64 \ -d > hawkular-internal-ca.crt
- 找到通配符私钥、证书和 CA 证书。每个都分别放在一个单独的文件中,如 wildcard.key、wildcard.crt 和 wildcard.ca。
创建新的重新加密路由:
$ oc create route reencrypt hawkular-metrics-reencrypt \ -n openshift-infra \ --hostname hawkular-metrics.ocp.example.com \ --key wildcard.key \ --cert wildcard.crt \ --ca-cert wildcard.ca \ --service hawkular-metrics \ --dest-ca-cert hawkular-internal-ca.crt
