高度なインストール方法を使用するOpenShift Origin 3.6では、WebコンソールとルーターのカスタムTLS証明書を設定しました。 WebコンソールのカスタムTLS証明書チェーンを使用したOpenShift Webコンソール
、私はAnsibleインベントリに使用されるパラメータは以下のとおりです。
openshift_master_named_certificates=[{"certfile": "/root/star.paas.certs/star.paas.local.cert.pem", "keyfile": "/root/star.paas.certs/star.paas.local.key.pem", "names": ["master.paas.local"], "cafile": "/root/star.paas.certs/ca-chain.cert.pem"}]
openshift_master_overwrite_named_certificates=true
とルータのために、パラメータは、TLS証明書の側で
openshift_hosted_router_certificate={"certfile": "/root/star.paas.certs/star.paas.local.cert.pem", "keyfile": "/root/star.paas.certs/star.paas.local.key.pem", "cafile": "/root/star.paas.certs/ca-chain.cert.pem"}
、カスタム認証局が作成され、ファイルca-chain.cert.pemに保存されました。このCAに基づくカスタム証明書が生成されました(star.paas.local.key.pemおよびstar.paas.local.cert.pem)。
OpenShift Webコンソール(私のケースではmaster.paas.local:8443に提供)と組み込みルータ(https://*.paas.localとしてルーティングされたアプリケーション用)に同じ証明書チェーンを使用しています。
次に、Webコンソールにアクセスするには、ルートCAをブラウザにインポートする必要があります。
ポイント:Chromiumを使用してmaster.paas.local:8443に行くと、接続はセキュリティで保護されていないと見なされます(NET :: ERR_CERT_AUTHORITY_INVALID)。私はより多くの情報を求める際に、私は、証明書の階層が不完全であることに気づく:
Certificate details in Chromium
興味深いことに、これは予想されるように動作私に知られている唯一のブラウザであるFirefoxの、では発生しません。
反対にCertificate details in Firefox
、私のアプリをOpenShiftが提供するすべてのTLSで保護された公共のルートは、私がWebコンソール用に使用するものとして非常に同じ証明書チェーンで、私がテストしたすべてのブラウザで固定と考えられています。
最近のすべてのブラウザでウェブコンソールを提供する際に、自分のカスタムCAをオープンシフト(可)にする作業方法がありますか? OpenShift Webコンソールは、TLSハンドシェイク中にルート/中間CAを送信しないようです。