6.4. カスタム TLS 証明書の使用
カスタムの PKCS12 キーストアまたは TLS 証明書/キーのペアを使用して、クライアントと Data Grid クラスターとの間の接続を暗号化します。
前提条件
キーストアまたは証明書シークレットを作成します。
注記シークレットは OpenShift クラスターの各
Infinispan
CR インスタンスに固有のものである必要があります。Infinispan
CR を削除すると、OpenShift は関連付けられたシークレットも自動的に削除します。
手順
暗号化シークレットを OpenShift namespace に追加します。以下に例を示します。
$ oc apply -f tls_secret.yaml
Infinispan
CR のspec.security.endpointEncryption.certSecretName
フィールドで暗号化シークレットを指定します。spec: security: endpointEncryption: type: Secret certSecretName: tls-secret
- 変更を適用します。
6.4.1. カスタム暗号化シークレット
このトピックでは、カスタム暗号化シークレットのリソースについて説明します。
キーストアシークレット
apiVersion: v1 kind: Secret metadata: name: tls-secret type: Opaque stringData: alias: server password: changeme data: keystore.p12: "MIIKDgIBAzCCCdQGCSqGSIb3DQEHA..."
フィールド | 説明 |
---|---|
| キーストアのエイリアスを指定します。 |
| キーストアのパスワードを指定します。 |
| base64 でエンコードされたキーストアを追加します。 |
証明書シークレット
apiVersion: v1 kind: Secret metadata: name: tls-secret type: Opaque data: tls.key: "LS0tLS1CRUdJTiBQUk ..." tls.crt: "LS0tLS1CRUdJTiBDRVl ..."
フィールド | 説明 |
---|---|
| base64 でエンコードされた TLS キーを追加します。 |
| base64 でエンコードされた TLS 証明書を追加します。 |