自带CA证书

在线编辑

您可以将 WebSphere Automation 自签名证书颁发机构(CA)证书替换为您自己的CA证书。

先决条件

需要以下PEM编码的证书文件:

  • ca.crt包含从根证书到签名CA的完整证书链。 签名CA位于最顶层,而根CA位于末端。
  • tls.crt仅包含签名CA。
  • tls.key包含用于签名CA的RSA私钥。

创造你自己的秘密

  1. 创建名为 wsa-custom-ca:的密钥
      oc create secret generic wsa-custom-ca \
  --namespace <instance-namespace> \
  --from-file=ca.crt=ca.crt \
  --from-file=tls.crt=tls.crt \
  --from-file=tls.key=tls.key \
  --dry-run=client -o yaml | oc apply -f -
  2. 等待所有 WSA 容器重启。 重启后,MongoDB使用的所有证书、用于注册的证书以及用户界面使用的证书都将由密钥中设置的CA签发。

使用自定义CA作为先决条件

  1. 有关 Kafka 的操作,请参阅 Strimzi 官方文档中的 《使用您自己的证书和私钥更新或替换 CA 证书》
  2. 有关 Cloud Pak 基础服务(CPFS)和Zen服务,请阅自带CA证书。
  3. 在更改CPFS CA后,请删除该 zen-ca-cert-secret 密钥以强制操作员从CPFS CA复制密钥来重新创建密钥。

刷新证书 Red Hat 管理器的CA证书链

若您使用 CPFS Red Hat 的证书管理工具,可执行以下命令刷新证书链,因为 Red Hat 证书管理工具不具备与之 refresh-ca-chain=true in ibm cert manager对应的命令。

oc get certificates -A -o jsonpath='{range .items[?(@.spec.issuerRef.name == "<issuer-name>")]}{.spec.secretName}{"\t"}{.metadata.namespace}{"\n"}{end}' | \
  xargs -n2 sh -c 'oc delete secret "$0" -n "$1"'
注意: 您可以将 issuer-name 设置为 cs-ca-issuer 用于 CPFS,或将 设置为 zen-tls-issuer 用于内部 zen 证书。