6.4. カスタム TLS 証明書の使用

カスタムの PKCS12 キーストアまたは TLS 証明書/キーのペアを使用して、クライアントと Data Grid クラスターとの間の接続を暗号化します。

前提条件

  • キーストアまたは証明書シークレットを作成します。

    注記

    シークレットは OpenShift クラスターの各 Infinispan CR インスタンスに固有のものである必要があります。Infinispan CR を削除すると、OpenShift は関連付けられたシークレットも自動的に削除します。

手順

  1. 暗号化シークレットを OpenShift namespace に追加します。以下に例を示します。

    $ oc apply -f tls_secret.yaml
  2. Infinispan CR の spec.security.endpointEncryption.certSecretName フィールドで暗号化シークレットを指定します。

    spec:
      security:
        endpointEncryption:
          type: Secret
          certSecretName: tls-secret
  3. 変更を適用します。

6.4.1. カスタム暗号化シークレット

このトピックでは、カスタム暗号化シークレットのリソースについて説明します。

キーストアシークレット

apiVersion: v1
kind: Secret
metadata:
  name: tls-secret
type: Opaque
stringData:
  alias: server
  password: changeme
data:
  keystore.p12:  "MIIKDgIBAzCCCdQGCSqGSIb3DQEHA..."

フィールド説明

stringData.alias

キーストアのエイリアスを指定します。

stringData.password

キーストアのパスワードを指定します。

data.keystore.p12

base64 でエンコードされたキーストアを追加します。

証明書シークレット

apiVersion: v1
kind: Secret
metadata:
  name: tls-secret
type: Opaque
data:
  tls.key:  "LS0tLS1CRUdJTiBQUk ..."
  tls.crt: "LS0tLS1CRUdJTiBDRVl ..."

フィールド説明

data.tls.key

base64 でエンコードされた TLS キーを追加します。

data.tls.crt

base64 でエンコードされた TLS 証明書を追加します。