12.3. Red Hat Single Sign-On インテグレーションの設定

以下の手順では、カスタム CA 証明書を使用するように zync-que を設定する方法を説明します。

12.3.1. カスタム CA 証明書を使用する zync-que の設定

前提条件

  • https で RH-SSO を提供でき、zync-que がアクセス可能であることを確認する必要があります。これをテストするには、以下を入力します。

    curl https://rhsso-fqdn
  • 3scale 2.2 以降は、SSL_CERT_FILE 環境変数により、RH-SSO 用カスタム CA 証明書がサポートされます。この変数は、証明書バンドルのローカルパスをポイントします。
注記
  • OpenSSL の一部のバージョンは、--showcerts ではなく -showcerts を受け入れます。使用しているバージョンに合わせて、以下のコマンドを変更します。
  • 以下の手順の 1 のコマンドに <rhsso_fqdn> が示されます。完全修飾ドメイン名 (FQDN) は、人間が判読可能なドメイン名 (例: host.example.com) です。

手順

  1. 以下のコマンドを実行して、適切な証明書チェーンを取得します。

    echo -n | openssl s_client -connect <rhsso_fqdn>:<rhsso_port> -servername <rhsso_fqdn> --showcerts | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > customCA.pem

手順

  1. 以下の cURL コマンドを使用して、新しい証明書を検証します。レルムの JSON 設定が返されるはずです。検証の失敗は、証明書が正しくないことを意味します。

    curl -v https://<secure-sso-host>/auth/realms/master --cacert customCA.pem
  2. 証明書バンドルを Zync Pod に追加します。

    1. Zync Pod 上の /etc/pki/tls/cert.pem ファイルの既存コンテンツを収集します。以下のコマンドを実行します

      oc exec <zync-que-pod-id> cat /etc/pki/tls/cert.pem > zync.pem
    2. カスタム CA 証明書ファイルの内容を zync.pem に追加します。

      cat customCA.pem >> zync.pem
    3. 新たなファイルを ConfigMap として Zync Pod に追加します。

      oc create configmap zync-ca-bundle --from-file=./zync.pem
      oc set volume dc/zync-que --add --name=zync-ca-bundle --mount-path /etc/pki/tls/zync/zync.pem --sub-path zync.pem --source='{"configMap":{"name":"zync-ca-bundle","items":[{"key":"zync.pem","path":"zync.pem"}]}}'
  3. デプロイメント後に、証明書が追加され内容が正しいことを確認します。

    oc exec <zync-pod-id> cat /etc/pki/tls/zync/zync.pem
  4. 新たな CA 証明書のバンドルをポイントするように、Zync の SSL_CERT_FILE 環境変数を設定します。

    oc set env dc/zync-que SSL_CERT_FILE=/etc/pki/tls/zync/zync.pem