Configurando um certificado customizado e um nome do host para a UI da plataforma

O WebSphere Automation usa a UI da plataforma de serviços básicos do Cloud Pak como um serviço subjacente para sua interface com o usuário. Se você usar o certificado personalizado para a interface do usuário da plataforma, defina a rota da interface do usuário da plataforma com um nome de host personalizado no recurso personalizado da instância WebSphereAutomation ao criar uma instância de WebSphere Automation.

Antes de iniciar

Determinar o novo nome do host ou domínio
Para mudanças de nome do host, obtenha o novo nome do host que você gostaria de usar Se você modificar o domínio a partir do domínio padrão do Red Hat® OpenShift® Container Platform , assegure-se de que o novo nome do host possa ser resolvido para o roteador Red Hat OpenShift de dentro e fora do cluster do Red Hat OpenShift Container Platform . A rota da interface do usuário da plataforma é uma rota de passagem e o roteador Red Hat OpenShift exige o cabeçalho SNI para rotas desse tipo. Certifique-se de que qualquer dispositivo de rede envolvido no tratamento do novo domínio esteja usando o cabeçalho SNI. Esse requisito é específico para o Red Hat OpenShift Para obter mais informações, consulte Dynamic-Routes-Guide Ícone de link externo e How can a user update OpenShift 4 console route Ícone de link externo.
Mudanças de certificado
Para mudanças de certificado, obtenha os arquivos de certificado necessários no formato adequado. Os arquivos a seguir são necessários para o segredo que contém os certificados
  • ca.crt: deve-se ter sua cadeia de certificados integral se o certificado de autoridade de certificação que você trouxe não for autoassinado A cadeia de certificados completa inclui todos os certificados de autoridade de certificação que assinaram cada certificado de autoridade de certificação intermediário que assinou seu certificado de autoridade de certificação e sua autoridade de certificação raiz. Os arquivos devem ser arquivos codificados por PEM
  • cert.crt: Um certificado do servidor (certificado de folha). Os arquivos devem ser arquivos codificados por PEM
  • cert.key: a chave privada correspondente ao certificado assinado. Os arquivos devem ser arquivos codificados por PEM

Cada um dos certificados e a chave devem estar em um formato Privacy-Enhanced Mail (PEM) não criptografado. A codificação PEM usa linhas de cabeçalho e rodapé como estas para cada certificado e chave privada.

-----BEGIN CERTIFICATE-----
(encoded set of characters)
-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----
(encoded set of characters)
-----END PRIVATE KEY-----

Criando o segredo wsa-external-tls-secret

Ao usar um certificado customizado, deve-se criar um segredo denominado wsa-external-tls-secret. Use os arquivos ca.crt, cert.crte cert.key ao fornecer arquivos para o comando secreto.. Configure a variável de ambiente WSA_INSTANCE_NAMESPACE para o namespace da instância WebSphere Automation .

export WSA_INSTANCE_NAMESPACE=websphere-automation
oc create secret generic wsa-external-tls-secret --from-file=cert.crt=cert.crt --from-file=cert.key=cert.key --from-file=ca.crt=ca.crt --dry-run=client -o yaml | oc apply -n $WSA_INSTANCE_NAMESPACE -f -

Ao usar certificados customizados, você deve gerenciar o ciclo de vida dos certificados no segredo. Quando o WebSphere Automation detecta mudanças em qualquer um dos certificados no wsa-external-tls-secret, a IU da plataforma é reiniciada automaticamente para refletir mudanças nos certificados modificados.

Configurando o parâmetro routeHost usando o console Red Hat OpenShift

  1. Acesse a página Operadores instalados. No Red Hat OpenShift console, clique em Operadores > Operadores instalados no menu de navegação.
  2. Se ainda não tiver feito isso, crie um namespace no qual criar a instância do WebSphere Automation . Abra o menu Projeto e clique em Criar projeto. Especifique um nome, por exemplo, websphere-automation. Se o modo de instalação para o operador era Um espaço de nomes específico no cluster, selecione esse mesmo espaço de nomes da lista Projetos.
    Nota: para obter considerações de segurança aplicáveis no nível do namespace, consulte Usando o recurso ResourceQuota.
  3. Clique no operador WebSphere Automation .
  4. Clique na guia WebSphereAutomation.
  5. O painel de criação da instância é aberto e oferece dois métodos para configurar o recurso: a visualização Formulário e a visualização YAML. A visualização de Formulário é selecionada por padrão Alterne para a visualização YAML e copie e cole o YAML a seguir:
    apiVersion: automation.websphere.ibm.com/v1
    kind: WebSphereAutomation
    metadata:
      name: wsa
    spec:
      license:
        accept: true
      platformUI:
        customRoute:
          routeHost: example.com
    

    Assegure-se de substituir o valor do parâmetro routeHost pelo nome do host da IU da plataforma para sua instalação.

Configurando o parâmetro routeHost usando a interface da linha de comandos

Assegure-se de que a variável de ambiente WSA_INSTANCE_NAMESPACE esteja configurada para o namespace da instância.

export WSA_INSTANCE_NAMESPACE=websphere-automation

Use o comando oc a seguir para atualizar o nome do host da UI da plataforma:

cat <<EOF | oc apply -f -
apiVersion: automation.websphere.ibm.com/v1
kind: WebSphereAutomation
metadata:
  name: wsa
  namespace: $WSA_INSTANCE_NAMESPACE
spec:
  license:
    accept: true
  platformUI:
    customRoute:
      routeHost: example.com
EOF

Substitua o valor para o parâmetro routeHost pelo valor apropriado para sua instalação. Observe que este comando configura o valor do parâmetro spec.license.accept para true, indicando que você aceita o contrato de licença para WebSphere Automation..

O quê fazer em seguida

Dependendo da configuração da sua instalação, considere alterar os certificados do console de administração do Cloud Pak.