第 3 章 配置自定义证书颁发机构
您可以将自定义证书颁发机构(CA)与 MicroShift 服务一起使用来加密连接。
3.1. 在 MicroShift 中自定义证书颁发机构如何工作
默认 API 服务器证书由内部 MicroShift 集群证书颁发机构(CA)发布。默认情况下,集群外的客户端无法验证 API 服务器证书。此证书可以被一个由客户端信任的自定义 CA 外部发布的自定义服务器证书替代。以下步骤演示了 MicroShift 中的工作流:
- 将证书和密钥复制到主机操作系统中首选目录中。确保仅可由 root 访问这些文件。
通过在 MicroShift
/etc/microshift/config.yaml配置文件中指定证书名称和新的完全限定域名(FQDN)来更新每个自定义 CA 的 MicroShift 配置。每个证书配置都可以包含以下值:
- 证书文件位置是一个所需的值。
包含 API 服务器 DNS 和 IP 地址或 IP 地址范围的单一通用名称。
提示在大多数情况下,MicroShift 为您的自定义 CA 生成一个新的
kubeconfig,其中包括您指定的 IP 地址或范围。例外是为 IP 地址指定通配符时。在这种情况下,MicroShift 使用服务器的公共 IP 地址生成kubeconfig。要使用通配符,您必须使用特定详情更新kubeconfig文件。- 包含 API 服务器 DNS 和 IP 地址或通配符证书的多个主题备用名称(SAN)。
- 您可以为每个证书提供额外的 DNS 名称。
-
MicroShift 服务重启后,您必须将生成的
kubeconfig文件复制到客户端。 - 在客户端系统上配置其他 CA。例如,您可以在 Red Hat Enterprise Linux (RHEL)信任存储中更新 CA 捆绑包。
- 证书和密钥从主机上的指定文件位置读取。配置的测试和验证是从客户端进行的。
- 外部服务器证书不会自动续订。您必须手动轮转外部证书。
注意
如果有任何验证失败,MicroShift 服务将跳过自定义配置,并使用默认证书启动。优先级是继续服务不间断。MicroShift 在服务启动时记录错误。常见错误包括过期的证书、缺少文件或不正确的 IP 地址。
重要
自定义服务器证书必须针对在主机操作系统信任根目录中配置的 CA 数据进行验证。如需更多信息,请参阅 系统范围的信任存储。
