0

根据启用集群指标的文档,我应该按照以下语句创建重新加密路由

$ oc create route reencrypt hawkular-metrics-reencrypt \
--hostname hawkular-metrics.example.com \ 
--key /path/to/key \ 
--cert /path/to/cert \ 
--ca-cert /path/to/ca.crt \ 
 --service hawkular-metrics
 --dest-ca-cert /path/to/internal-ca.crt 
  • 这些密钥和证书究竟应该使用什么?
  • 这些是否已经存在于某个地方或者我需要创建它们?
4

2 回答 2

2

Openshift Metrics 开发人员在这里。

抱歉,如果文档不够清楚。

该路由用于公开 Hawkular Metrics,特别是向运行 OpenShift 控制台的浏览器公开。

如果您不指定任何证书,系统将改为使用自签名证书。浏览器会抱怨这个自签名证书不受信任,但您通常可以直接点击接受它。如果您对此感到满意,则无需执行任何额外步骤。

如果您希望浏览器默认信任此连接,则您需要提供由受信任的证书颁发机构签名的自己的证书。这与在 https 下运行普通站点时必须生成自己的证书的方式完全相同。

从以下命令:

$ oc create route reencrypt hawkular-metrics-reencrypt \ --hostname hawkular-metrics.example.com \ --key /path/to/key \ --cert /path/to/cert \ --ca-cert /path/ to/ca.crt \ --service hawkular-metrics --dest-ca-cert /path/to/internal-ca.crt

'cert' 对应于证书颁发机构签署的证书

'key' 对应于您的证书的密钥

'ca-cert' 对应于证书颁发机构证书

'dest-ca-cert' 对应于签署由 metrics deployer 生成的自签名证书的证书颁发机构

文档https://docs.openshift.com/enterprise/3.2/install_config/cluster_metrics.html#metrics-reencrypting-route应该解释如何从系统获取 dest-ca-cert

于 2016-09-09T13:54:41.417 回答
1

首先,据我所知,请注意,使用重新加密路由是可选的。该文档提到在不导入任何证书的情况下进行部署:

oc secrets new metrics-deployer nothing=/dev/null

你应该能够从那开始并使 hawkular 工作(例如,你将能够使用'-k' 选项卷曲)。但是有时需要重新加密路由,一些客户端拒绝与不受信任的证书通信。

此页面解释了此处需要哪些证书:https ://docs.openshift.com/enterprise/3.1/install_config/cluster_metrics.html#metrics-reencrypting-route

请注意,如果您觉得更方便,也可以从 Web 控制台配置它:从https://(your_openshift_host)/console/project/openshift-infra/browse/routes,您可以创建新路由并上传证书文件从那个页面。在“TLS 终止”下选择“重新加密”,然后提供 4 个证书文件。

如果您不知道如何生成自签名证书,可以按照此处描述的步骤操作:https ://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/ 。您最终会得到一个 rootCA.pem 文件(将其用于“CA 证书”)、一个 device.key 文件(或将其命名为 hawkular.key,并将其作为私钥上传)和一个 device.crt 文件(您可以将其命名为 hawkular.pem,它是 PEM 格式证书)。当询问通用名称时,请确保输入您的 hawkular 服务器的主机名,例如“hawkular-metrics.example.com”

最后提供的是 Hawkular 当前使用的自签名证书,即所谓的“目标 CA 证书”。OpenShift 文档解释了如何获取它:运行

base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`

并且,如果您使用的是 Web 控制台,请将其保存到文件中,然后在目标 CA 证书下上传。

现在您应该完成重新加密。

于 2016-09-09T13:03:47.667 回答