Configuração de certificado TLS personalizado no OMS Gateway

Configure seu próprio certificado TLS no OMS Gateway para comunicações internas entre a camada de entrada e o OMS Gateway.

Visão geral

Quando você usa o operador Sterling Intelligent Promising, recomenda-se que um certificado TLS seja usado para proteger a comunicação entre o ingresso e o gateway OMS. Você pode fornecer seu próprio certificado TLS para o OMS Gateway por vários motivos, como conformidade com as políticas de segurança internas da sua organização, para usar um certificado assinado por uma autoridade de certificação externa confiável (CA) ou para gerenciar o ciclo de vida do certificado por conta própria.

Se você fornecer seu próprio certificado TLS, também deverá configurar a CA correspondente no ingresso para ajudar a garantir uma comunicação segura. Entretanto, se nenhum certificado for fornecido, o Operador gerará automaticamente um certificado autoassinado para o OMS Gateway e configurará a CA no ingresso. O certificado raiz para o certificado TLS autoassinado é armazenado em um Kubernetes secreto chamado sip-operator-ca que está localizado no mesmo namespace que o Operator. Você pode extrair essa CA e usá-la em sistemas de entrada ou externos, se necessário.

Fluxo de certificados TLS

Com seu próprio certificado
Você fornece um segredo que contém seu certificado TLS para o OMS Gateway na propriedade identitySecretName. Esse certificado é usado como certificado de identidade para o Gateway OMS. Você também deve configurar a CA correspondente no ingresso por meio de anotações. Para obter mais informações, consulte exemplo de configuração de certificado TLS.
Sem seu próprio certificado
Se o identitySecretName não for fornecido, mas o TLS estiver ativado, o que significa sslEnabled: true, o Operador gerará um certificado autoassinado e configurará a CA correspondente no ingresso.
Modo não TLS
Se o TLS estiver desativado, que é sslEnabled: false, a comunicação HTTP será usada e nenhum certificado será necessário.

Formato do certificado TLS

Use os atributos a seguir para configurar o certificado TLS data em um Kubernetes.
  • tls.crt: especifique o arquivo de certificado TLS Base64-encoded no formato PEM.
  • tls.key: especifique o arquivo de chave privada Base64-encoded associado ao certificado TLS, no formato PEM.
  • type: especifique o tipo como kubernetes.io/tls para indicar que esse segredo contém um certificado e uma chave TLS.
Configure o certificado TLS em um segredo Kubernetes, conforme mostrado no exemplo a seguir.
kind: Secret
apiVersion: v1
metadata:
  name: <oms-gateway-identity-cert>
  namespace: <sip-operator-namespace>
data:
  tls.crt: >-
    <Base64-encoded TLS certificate file in PEM format>
  tls.key: >-
    <Base64-encoded private key file associated with the TLS certificate, in PEM format>
type: kubernetes.io/tls