第5章 証明書の設定

5.1. デフォルトの Ingress 証明書の置き換え

5.1.1. デフォルトの Ingress 証明書について

デフォルトで、OpenShift Container Platform は Ingress Operator を使用して内部 CA を作成し、 .apps サブドメインの下にあるアプリケーションに有効なワイルドカード証明書を発行します。Web コンソールと CLI のどちらもこの証明書を使用します。

内部インフラストラクチャー CA 証明書は自己署名型です。一部のセキュリティーまたは PKI チームにとってこのプロセスは適切とみなされない可能性がありますが、ここで想定されるリスクは最小限度のものです。これらの証明書を暗黙的に信頼するクライアントがクラスター内の他のコンポーネントになります。デフォルトのワイルドカード証明書を、コンテナーユーザー空間で提供される CA バンドルにすでに含まれているパブリック CA に置き換えることで、外部クライアントは .apps サブドメインで実行されるアプリケーションに安全に接続できます。

5.1.2. デフォルトの Ingress 証明書の置き換え

.apps サブドメインにあるすべてのアプリケーションのデフォルトの Ingress 証明書を置き換えることができます。証明書を置き換えた後に、Web コンソールや CLI を含むすべてのアプリケーションには、指定された証明書で提供される暗号化が設定されます。

前提条件

  • ワイルドカード証明書およびそのプライベートキー (どちらも PEM 形式) を使用できる必要があります。
  • 証明書には、*.apps.<clustername>.<domain> subjectAltName 拡張がなければなりません。

手順

  1. 新しい証明書に署名するために使用される認証局が含まれる ConfigMap を作成します。 

    $ oc create configmap custom-ca \
     --from-file=ca-bundle.crt=</path/to/example-ca.crt> \1
     -n openshift-config
    1
    </path/to/example-ca.crt> は、ローカルファイルシステム上の認証局ファイルへのパスです。

  2. 新たに作成された ConfigMap でクラスター全体のプロキシー設定を更新します。 

    $ oc patch proxy/cluster \
     --type=merge \
     --patch='{"spec":{"trustedCA":{"name":"custom-ca"}}}'

  3. ワイルドカード証明書およびキーが含まれるシークレットを作成します。 

    $ oc create secret tls <certificate> \1
     --cert=</path/to/cert.crt> \2
     --key=</path/to/cert.key> \3
     -n openshift-ingress
    1
    <certificate> は、証明書およびプライベートキーが含まれるシークレットの名前です。
    2
    </path/to/cert.crt> は、ローカルファイルシステム上の証明書へのパスです。
    3
    </path/to/cert.key> は、この証明書に関連付けられるプライベートキーへのパスです。

  4. Ingress コントローラー設定を、新規に作成されたシークレットで更新します。 

    $ oc patch ingresscontroller.operator default \
     --type=merge -p \
     '{"spec":{"defaultCertificate": {"name": "<certificate>"}}}' \1
     -n openshift-ingress-operator
    1
    <certificate> を、直前の手順のシークレットで使用された名前に置き換えます。