プラットフォーム UI のカスタム証明書およびホスト名の構成

WebSphere Automation は、ユーザー・インターフェースの基礎となるサービスとして Cloud Pak Foundational Services Platform UI を使用します。 プラットフォーム UI にカスタム証明書を使用する場合は、WebSphere Automation のインスタンスを作成するときに、WebSphereAutomation インスタンス カスタム リソースでカスタム ホスト名を使用してプラットフォーム UI ルートを設定します。

開始前に

新しいホスト名またはドメインの判別
ホスト名を変更する場合は、使用する新しいホスト名を取得します。 デフォルトの Red Hat® OpenShift® Container Platform ドメインからドメインを変更する場合は、新しいホスト名が Red Hat OpenShift Container Platform クラスターの内部および外部から Red Hat OpenShift ルーターに解決できることを確認してください。 プラットフォームUI ルートはパススルールートであり、 Red Hat OpenShift ルーターはこのタイプのルートにSNIヘッダーを必要とする。 新しいドメインの処理に関与するすべてのネットワーク・デバイスが SNI ヘッダーを使用していることを確認してください。 この要件は、 Red Hat OpenShiftに固有のものです。 詳細については、 Dynamic-Routes-Guide 外部リンク・アイコン および How can user update OpenShift 4 console route 外部リンク・アイコン を参照してください。
証明書の変更
証明書の変更については、適切な形式の必要な証明書ファイルを入手してください。 証明書を含むシークレットには、以下のファイルが必要です。
  • ca.crt: 持ち込んだ CA 証明書が自己署名証明書でない場合は、完全な証明書チェーンが必要です。 完全な証明書チェーンには、CA 証明書に署名した各中間 CA 証明書に署名したすべての CA 証明書と、ルート CA が含まれます。 ファイルは PEM エンコード・ファイルでなければなりません。
  • cert.crt: サーバー証明書 (リーフ証明書)。 ファイルは PEM エンコード・ファイルでなければなりません。
  • cert.key: 署名済み証明書に対応する秘密鍵。 ファイルは PEM エンコード・ファイルでなければなりません。

各証明書と鍵は、暗号化されていない Privacy-Enhanced Mail (PEM) 形式でなければなりません。 PEM エンコードでは、証明書と秘密鍵ごとに以下のようなヘッダー行とフッター行が使用されます。

-----BEGIN CERTIFICATE-----
(encoded set of characters)
-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----
(encoded set of characters)
-----END PRIVATE KEY-----

wsa-external-tls-secret シークレットの作成

カスタム証明書を使用する場合は、 wsa-external-tls-secretという名前のシークレットを作成する必要があります。 secret コマンドにファイルを指定する場合は、 ca.crtcert.crt、および cert.key ファイルを使用します。 WSA_INSTANCE_NAMESPACE 環境変数を WebSphere Automation インスタンスの名前空間に設定します。

export WSA_INSTANCE_NAMESPACE=websphere-automation
oc create secret generic wsa-external-tls-secret --from-file=cert.crt=cert.crt --from-file=cert.key=cert.key --from-file=ca.crt=ca.crt --dry-run=client -o yaml | oc apply -n $WSA_INSTANCE_NAMESPACE -f -

カスタム証明書を使用する場合は、シークレット内の証明書のライフサイクルを管理する必要があります。 WebSphere Automationwsa-external-tls-secret内のいずれかの証明書の変更を検出すると、プラットフォーム UI が自動的に再始動され、変更された証明書に変更が反映されます。

Red Hat OpenShift コンソールを使用した routeHost パラメーターの構成

  1. 「インストール済みオペレーター」ページに移動します。 Red Hat OpenShift 、ナビゲーション・メニューから 「Operators 」>「 Installed Operators 」をクリックします。
  2. WebSphere Automation インスタンスを作成する名前空間をまだ作成していない場合は、作成します。 「プロジェクト」 メニューを開き、「プロジェクトの作成」をクリックします。 名前を指定します (例:websphere-automation。 オペレーターのインストール・モードが「クラスター上の特定の名前空間 (A specific namespace on the cluster)」の場合は、「プロジェクト」リストから同じ名前空間を選択します。
    注: 名前空間レベルで適用できるセキュリティー上の考慮事項については、 ResourceQuota リソースの使用を参照してください。
  3. WebSphere Automation オペレーターをクリックします。
  4. WebSphereAutomation タブをクリックします。
  5. インスタンス作成パネルが開き、リソースを構成するための 2 つの方法 (フォーム・ビューと YAML ビュー) が提供されます。 デフォルトでは、フォーム・ビューが選択されています。 YAML ビューに切り替え、以下の YAML をコピーして貼り付けます。
    apiVersion: automation.websphere.ibm.com/v1
    kind: WebSphereAutomation
    metadata:
      name: wsa
    spec:
      license:
        accept: true
      platformUI:
        customRoute:
          routeHost: example.com
    

    routeHost パラメーターの値は、ご使用のインストール済み環境のプラットフォーム UI のホスト名に置き換えてください。

コマンド行インターフェースを使用した routeHost パラメーターの構成

WSA_INSTANCE_NAMESPACE 環境変数がインスタンス名前空間に設定されていることを確認します。

export WSA_INSTANCE_NAMESPACE=websphere-automation

以下の oc コマンドを使用して、プラットフォーム UI ホスト名を更新します。

cat <<EOF | oc apply -f -
apiVersion: automation.websphere.ibm.com/v1
kind: WebSphereAutomation
metadata:
  name: wsa
  namespace: $WSA_INSTANCE_NAMESPACE
spec:
  license:
    accept: true
  platformUI:
    customRoute:
      routeHost: example.com
EOF

routeHost パラメーターの値を、ご使用のインストール済み環境に適した値に置き換えます。 このコマンドは、 spec.license.accept パラメーターの値を trueに設定します。これは、 WebSphere Automationのご使用条件に同意することを示します。

次のタスク

インストール構成によっては、 Cloud Pak 管理コンソール証明書の変更を検討してください。