第 2 章 添加可信证书颁发机构

了解如何在 Red Hat Advanced Cluster Security for Kubernetes 中添加自定义可信证书颁发机构。

如果您在网络或自签名证书中使用企业证书颁发机构(CA),您必须将 CA 的 root 证书添加到 Red Hat Advanced Cluster Security for Kubernetes 中作为可信 root CA。

添加可信 root CA 允许:

  • 与其它工具集成时,中央和扫描器以信任远程服务器。
  • 信任用于 Central 的自定义证书。

您可以在安装过程中或现有部署上添加额外的 CA。

注意

您必须首先在部署了 Central 的集群中配置可信 CA,然后将更改传播到 Scanner 和 Sensor。

2.1. 配置其他 CA

添加自定义 CA:

流程

  1. 下载 ca-setup.sh 脚本。

    注意
    • 如果要进行新安装,您可以在 scripts 目录中找到 ca-setup.sh 脚本(central-bundle/central/scripts/ca-setup.sh)。
    • 您必须在登录到 OpenShift Container Platform 集群的同一终端中运行 ca-setup.sh 脚本。

  2. 使 ca-setup.sh 脚本可执行: 

    $ chmod +x ca-setup.sh

  3. 要添加:

    1. 单个证书,使用 -f (文件)选项: 

      $ ./ca-setup.sh -f <certificate>
      注意
      • 您必须使用 PEM 编码的证书文件(具有任何扩展名)。
      • 您还可以使用 -u (update)选项和 -f 选项更新之前添加的任何证书。

    2. 一次性移动目录中的所有证书,然后使用 -d (目录)选项: 

      $ ./ca-setup.sh -d <directory_name>
      注意
      • 您必须使用带有 .crt 扩展名的 PEM 编码证书文件。
      • 每个文件必须仅包含单个证书。
      • 您还可以使用 -u (更新)选项和 -d 选项更新任何之前添加的证书。