8.3. Red Hat Single Sign-On インテグレーションの設定

次の手順では、カスタム CA 証明書を使用するように zync-que を設定する方法を説明します。

8.3.1. カスタム CA 証明書を使用するための zync-que の設定

前提条件

  • https で RH-SSO を提供でき、zync-que がアクセス可能であることを確認します。これをテストするには、以下を入力します。 

    curl https://rhsso-fqdn
  • 3scale 2.2 以降は、SSL_CERT_FILE 環境変数により、RH-SSO 用カスタム CA 証明書がサポートされます。この変数は、証明書バンドルのローカルパスをポイントします。
注記
  • OpenSSL の一部のバージョンは、 --showcerts ではなく、-showcerts を受け入れます。使用しているバージョンに合わせて、以下のコマンドを変更します。
  • 以下の手順のステップ 1 のコマンドには <rhsso_fqdn> が記載されています。完全修飾ドメイン名 (FQDN) は、人間が判読可能なドメイン名 (例: host.example.com) です。

手順

  1. 以下のコマンドを実行して、適切な証明書チェーンを取得します。 

    echo -n | openssl s_client -connect <rhsso_fqdn>:<rhsso_port> -servername <rhsso_fqdn> --showcerts | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > customCA.pem

手順

  1. 以下の cURL コマンドを使用して、新しい証明書を検証します。レルムの JSON 設定が返されるはずです。検証の失敗は、証明書が正しくないことを意味します。 

    curl -v https://<secure-sso-host>/auth/realms/master --cacert customCA.pem

  2. 証明書バンドルを Zync Pod に追加します。

    1. Zync Pod 上の /etc/pki/tls/cert.pem ファイルの既存コンテンツを収集します。以下を実行します。 

      oc exec <zync-que-pod-id> cat /etc/pki/tls/cert.pem > zync.pem

    2. カスタム CA 証明書ファイルの内容を zync.pem に追加します。 

      cat customCA.pem >> zync.pem

    3. 新たなファイルを ConfigMap として Zync Pod に追加します。 

      oc create configmap zync-ca-bundle --from-file=./zync.pem
      oc set volume dc/zync-que --add --name=zync-ca-bundle --mount-path /etc/pki/tls/zync/zync.pem --sub-path zync.pem --source='{"configMap":{"name":"zync-ca-bundle","items":[{"key":"zync.pem","path":"zync.pem"}]}}'

  3. デプロイメント後に、証明書が追加され内容が正しいことを確認します。 

    oc exec <zync-pod-id> cat /etc/pki/tls/zync/zync.pem

  4. 新たな CA 証明書のバンドルをポイントするように、Zync の SSL_CERT_FILE 環境変数を設定します。 

    oc set env dc/zync-que SSL_CERT_FILE=/etc/pki/tls/zync/zync.pem