Estrazione del certificato root di Operator e aggiunta a ingress

Quando si utilizza l'Operatore IBM® Sterling Intelligent Promising, si raccomanda di utilizzare un certificato TLS per proteggere la comunicazione tra l'ingresso e l'Operatore OMS Gateway. Estrarre il certificato Sterling Intelligent Promising Operator root da un segreto Kubernetes e usarlo per configurare la risorsa di ingresso per garantire una connessione sicura. Il certificato radice è memorizzato in un segreto chiamato sip-operator-ca nello stesso spazio dei nomi dell'Operatore. Se si fornisce il proprio certificato TLS per il servizio OMS Gateway, non è necessario estrarre il certificato dal segreto. L'estrazione del certificato di root è necessaria solo se non si fornisce il proprio certificato TLS.

Procedura

  • Estrazione del certificato root
    Il certificato radice è disponibile nel segreto denominato sip-operator-ca nello spazio dei nomi in cui è installato l'Operatore Sterling Intelligent Promising.
    kind: Secret
apiVersion: v1
metadata:
  name: sip-operator-ca
  namespace: <sip_operator_namespace>
data:
  tls.crt: >-
    <Base64-encoded TLS certificate file in PEM format>
  tls.key: >-
    <Base64-encoded private key file associated with the TLS certificate, also in PEM format>
  tls.p12: >-
    <Base64-encoded PKCS#12 file that contains a certificate and private key>
  tls.p12.password: <Base64-encoded password that is used to decrypt the .p12 file>
type: kubernetes.io/tls
    1. Estrarre e decodificare il campo tls.crt che contiene il certificato root Base64-encoded, utilizzando il seguente comando.
      kubectl get secret sip-operator-ca -n <sip_namespace> -o yaml

      Questo comando crea un file denominato sip-operator-root-cert.crt che contiene il certificato di root in formato PEM.

    2. Opzionale: Estrarre la chiave privata.
      Il segreto contiene anche la chiave privata nel campo tls.key. Se necessario, estrarlo e decodificarlo con il seguente comando:
      echo "<Base64-encoded private key>" | base64 --decode > tls.key
    3. Opzionale: Estrarre il certificato PKCS#12.
      1. Se si desidera il formato .p12 che contiene il certificato e la chiave privata, decodificarlo come mostrato nel comando seguente:
        echo "<Base64-encoded PKCS#12>" | base64 --decode > tls.p12
      2. Decodificare la password associata al file .p12 come mostrato nell'esempio seguente:
        echo "<Base64-encoded password>" | base64 --decode > p12-password.txt
  • Aggiorna le configurazioni specifiche del cloud provider
    Ogni cloud provider può avere procedure diverse per impostare i certificati TLS e i controllori di ingresso. Per ulteriori informazioni, consultare la documentazione ufficiale per le istruzioni sull'aggiunta del certificato TLS a ingress nell'ambiente cloud.