使用定制主机名和证书修改 Platform UI 路径

在线编辑

WebSphere Automation 使用 Cloud Pak 基础服务平台 UI 作为其用户界面的底层服务。 您可以通过更改 WebSphereAutomation 自定义资源,使用自定义主机名和证书修改 Platform UI 路由。

准备工作

确定新的主机名或域
对于主机名更改,请获取要使用的新主机名。 如果从缺省 Red Hat® OpenShift® Container Platform 域修改域,请确保新主机名可以从 Red Hat OpenShift Container Platform 集群内外解析到 Red Hat OpenShift 路由器。 平台用户界面路由为直通路由,路由器 Red Hat OpenShift 要求此类路由必须包含SNI标头。 请确保处理新域所涉及的任何网络设备都在使用 SNI 头。 此需求特定于 Red Hat OpenShift。 有关更多信息,请参阅《 动态路由指南 外部链接图标 》 以及《 用户如何更新 OpenShift 4控制台路由 外部链接图标》。
证书更改
对于证书更改,请以正确的格式获取必需的证书文件。 以下文件是包含证书的私钥所必需的。
  • ca.crt: 如果您提供的 CA 证书不是自签名证书,那么必须具有完整的证书链。 完整证书链包含签署了已对您的 CA 证书和根 CA 签名的每个中间 CA 证书的所有 CA 证书。 这些文件必须是 PEM 编码的文件。
  • cert.crt: 服务器证书 (叶证书)。 这些文件必须是 PEM 编码的文件。
  • cert.key: 对应于已签名证书的专用密钥。 这些文件必须是 PEM 编码的文件。

每个证书和密钥都必须采用未加密的隐私增强邮件 (PEM) 格式。 PEM 编码针对每个证书和专用密钥使用页眉和页脚行。

-----BEGIN CERTIFICATE-----
(encoded set of characters)
-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----
(encoded set of characters)
-----END PRIVATE KEY-----

关于本任务

执行以下步骤以更改 Platform UI 路径的主机名和证书。

过程

  1. 更新主机名。
    使用以下 oc 命令来更新 Platform UI 主机名。 将 instance_namespace 替换为 WebSphere Automation 实例的名称,将 instance_name 替换为 WebSphere Automation 实例的名称空间,将 example.com 替换为定制主机名:
    oc patch websphereautomation instance_name -n instance_namespace -p "{\"spec\": {\"platformUI\": {\"customRoute\": {\"routeHost\": \"example.com\"}}}}" --type=merge
  2. 使用新证书详细信息更新私钥。
    对于证书更改,请使用定制证书创建名为 wsa-external-tls-secret 的私钥。 向 secret 命令提供文件时,请使用 ca.crtcert.crtcert.key 文件。 将 instance_namespace 替换为 WebSphere Automation 实例的名称。
    oc create secret generic wsa-external-tls-secret --from-file=cert.crt=cert.crt --from-file=cert.key=cert.key --from-file=ca.crt=ca.crt --dry-run=client -o yaml | oc apply -n instance_namespace -f -

    使用定制证书时,必须管理私钥中证书的生命周期。 当 WebSphere Automation 检测到对 wsa-external-tls-secret中任何证书的更改时,将自动重新启动 Platform UI 以反映修改后的证书中的更改。

    注: 从 V 1.6.3开始, Platform UI 路由的 TLS 终止处于 reencrypt 方式而不是 passthrough 方式。 由于此更改, ibm-nginx pod 不再负责提供定制证书。 相反,操作员会自动将定制证书重新装入到名为 cpdRed Hat OpenShift 路径中。 无需其他配置。

结果

平台 UI 路径将使用新主机名进行更新。 访问自动化界面 URL 时,您可以在浏览器中查看新证书。

下一步操作

如果您已注册服务器,那么必须更新其证书。 有关更多信息,请参阅以下链接。