8.3.4.2.7. 可信证书颁发机构
git clone 操作期间受信任的 TLS 证书颁发机构集合内置于 OpenShift Container Platform 基础架构镜像中。如果 Git 服务器使用自签名证书或由镜像不信任的颁发机构签名的证书,您可以创建包含证书的 secret 或者禁用 TLS 验证。
如果为 CA 证书创建 secret,OpenShift Container Platform 会在 git clone 操作期间使用它来访问您的 Git 服务器。使用此方法比禁用 Git 的 SSL 验证要安全得多,后者接受所出示的任何 TLS 证书。
完成以下进程之一:
使用 CA 证书文件(推荐)创建 secret。
如果您的 CA 使用中间证书颁发机构,请合并 ca.crt 文件中所有 CA 的证书。运行以下命令:
$ cat intermediateCA.crt intermediateCA.crt rootCA.crt > ca.crt
创建 secret:
$ oc create secret generic mycert --from-file=ca.crt=</path/to/file> 1- 1
- 您必须使用密钥名称 ca.crt。
禁用 Git TLS 验证。
在构建配置的相应 strategy 部分中,将
GIT_SSL_NO_VERIFY环境变量设置为true。您可以使用oc set env命令管理BuildConfig环境变量。
