カスタム・ホスト名と証明書を使用したプラットフォーム UI 経路の変更

オンライン編集

WebSphere Automation は、ユーザー・インターフェースの基礎となるサービスとして Cloud Pak Foundational Services Platform UI を使用します。 WebSphereAutomation カスタム・リソースを変更することで、カスタムのホスト名と証明書を使用して Platform UI ルートを変更できます。

開始前に

新しいホスト名またはドメインの判別

ホスト名を変更する場合は、使用する新しいホスト名を取得します。デフォルトの Red Hat® OpenShift® Container Platform ドメインからドメインを変更する場合は、新しいホスト名が Red Hat OpenShift Container Platform クラスターの内部および外部から Red Hat OpenShift ルーターに解決できることを確認してください。 Platform UI ルートはパススルールートであり、 Red Hat OpenShift ルーターはこのタイプのルートにSNIヘッダーを必要とする。新しいドメインの処理に関与するすべてのネットワーク・デバイスが SNI ヘッダーを使用していることを確認してください。この要件は、 Red Hat OpenShiftに固有のものです。詳細については、 Dynamic-Routes-Guide 外部リンク・アイコン

および How can user update OpenShift 4 console route 外部リンク・アイコン

を参照してください。

証明書の変更

証明書の変更については、適切な形式の必要な証明書ファイルを入手してください。証明書を含むシークレットには、以下のファイルが必要です。

ca.crt: 持ち込んだ CA 証明書が自己署名証明書でない場合は、完全な証明書チェーンが必要です。完全な証明書チェーンには、CA 証明書に署名した各中間 CA 証明書に署名したすべての CA 証明書と、ルート CA が含まれます。ファイルは PEM エンコード・ファイルでなければなりません。
cert.crt: サーバー証明書 (リーフ証明書)。ファイルは PEM エンコード・ファイルでなければなりません。
cert.key: 署名済み証明書に対応する秘密鍵。ファイルは PEM エンコード・ファイルでなければなりません。

各証明書と鍵は、暗号化されていない Privacy-Enhanced Mail (PEM) 形式でなければなりません。 PEM エンコードでは、証明書と秘密鍵ごとに以下のようなヘッダー行とフッター行が使用されます。

-----BEGIN CERTIFICATE-----
(encoded set of characters)
-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----
(encoded set of characters)
-----END PRIVATE KEY-----

このタスクについて

プラットフォーム UI 経路のホスト名と証明書を変更するには、以下の手順に従います。

手順

ホスト名を更新します。
以下の oc コマンドを使用して、プラットフォーム UI ホスト名を更新します。 instance_namespace を WebSphere Automation インスタンスの名前に、 instance_name を WebSphere Automation インスタンスの名前空間に、 example.com をカスタム・ホスト名にそれぞれ置き換えます。
```
oc patch websphereautomation instance_name -n instance_namespace -p "{\"spec\": {\"platformUI\": {\"customRoute\": {\"routeHost\": \"example.com\"}}}}" --type=merge
```
新しい証明書の詳細を使用して秘密を更新します。
証明書を変更するには、カスタム証明書を使用して wsa-external-tls-secret という名前のシークレットを作成します。 secret コマンドにファイルを指定する場合は、 ca.crtファイル、 cert.crtファイル、および cert.key ファイルを使用します。 instance_namespace を WebSphere Automation インスタンスの名前に置き換えます。
```
oc create secret generic wsa-external-tls-secret --from-file=cert.crt=cert.crt --from-file=cert.key=cert.key --from-file=ca.crt=ca.crt --dry-run=client -o yaml | oc apply -n instance_namespace -f -
```
カスタム証明書を使用する場合は、シークレット内の証明書のライフサイクルを管理する必要があります。 WebSphere Automation が wsa-external-tls-secret内のいずれかの証明書の変更を検出すると、プラットフォーム UI が自動的に再始動され、変更された証明書の変更が反映されます。

注: バージョン 1.6.3以降、プラットフォーム UI 経路の TLS 終端は、 passthrough モードではなく reencrypt モードになりました。この変更の結果、 ibm-nginx ポッドはカスタム証明書を提供する必要がなくなりました。代わりに、オペレーターは自動的にカスタム証明書を cpdという名前の Red Hat OpenShift 経路に再ロードします。追加の構成は不要です。

結果

プラットフォーム UI 経路が新しいホスト名で更新されます。オートメーション UI URL にアクセスすると、ブラウザに新しい証明書が表示されます。

次のタスク

サーバーが登録されている場合は、その証明書を更新する必要があります。詳しくは、以下のリンクを参照してください。

WebSphere Application Server Liberty ： Libertyで信頼できる証明書を追加する
WebSphere Application Server の場合：鍵ストアに署名者証明書を追加する
IBM サポートサイトで、署名者/公開鍵/リモートサーバー証明書を WebSphere Application Server トラストストアの trust.p12 または Java トラストストアの cacerts に追加する方法