使用定制主机名和证书修改 Platform UI 路径

在线编辑

WebSphere Automation 使用 Cloud Pak 基础服务平台 UI 作为其用户界面的底层服务。您可以通过更改 WebSphereAutomation 自定义资源，使用自定义主机名和证书修改 Platform UI 路由。

准备工作

确定新的主机名或域

对于主机名更改，请获取要使用的新主机名。如果从缺省 Red Hat® OpenShift® Container Platform 域修改域，请确保新主机名可以从 Red Hat OpenShift Container Platform 集群内外解析到 Red Hat OpenShift 路由器。 Platform UI 路由是一条直通路由， Red Hat OpenShift 路由器要求此类路由使用 SNI 标头。请确保处理新域所涉及的任何网络设备都在使用 SNI 头。此需求特定于 Red Hat OpenShift。更多信息，请参阅动态路线指南外部链接图标

以及用户如何更新 OpenShift 4 控制台路由外部链接图标

。

证书更改

对于证书更改，请以正确的格式获取必需的证书文件。以下文件是包含证书的私钥所必需的。

ca.crt: 如果您提供的 CA 证书不是自签名证书，那么必须具有完整的证书链。完整证书链包含签署了已对您的 CA 证书和根 CA 签名的每个中间 CA 证书的所有 CA 证书。这些文件必须是 PEM 编码的文件。
cert.crt: 服务器证书 (叶证书)。这些文件必须是 PEM 编码的文件。
cert.key: 对应于已签名证书的专用密钥。这些文件必须是 PEM 编码的文件。

每个证书和密钥都必须采用未加密的隐私增强邮件 (PEM) 格式。 PEM 编码针对每个证书和专用密钥使用页眉和页脚行。

-----BEGIN CERTIFICATE-----
(encoded set of characters)
-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----
(encoded set of characters)
-----END PRIVATE KEY-----

关于本任务

执行以下步骤以更改 Platform UI 路径的主机名和证书。

过程

更新主机名。
使用以下 oc 命令来更新 Platform UI 主机名。将 instance_namespace 替换为 WebSphere Automation 实例的名称，将 instance_name 替换为 WebSphere Automation 实例的名称空间，将 example.com 替换为定制主机名:
```
oc patch websphereautomation instance_name -n instance_namespace -p "{\"spec\": {\"platformUI\": {\"customRoute\": {\"routeHost\": \"example.com\"}}}}" --type=merge
```
使用新证书详细信息更新私钥。
对于证书更改，请使用定制证书创建名为 wsa-external-tls-secret 的私钥。向 secret 命令提供文件时，请使用 ca.crt， cert.crt和 cert.key 文件。将 instance_namespace 替换为 WebSphere Automation 实例的名称。
```
oc create secret generic wsa-external-tls-secret --from-file=cert.crt=cert.crt --from-file=cert.key=cert.key --from-file=ca.crt=ca.crt --dry-run=client -o yaml | oc apply -n instance_namespace -f -
```
使用定制证书时，必须管理私钥中证书的生命周期。当 WebSphere Automation 检测到对 wsa-external-tls-secret中任何证书的更改时，将自动重新启动 Platform UI 以反映修改后的证书中的更改。

注: 从 V 1.6.3开始， Platform UI 路由的 TLS 终止处于 reencrypt 方式而不是 passthrough 方式。由于此更改， ibm-nginx pod 不再负责提供定制证书。相反，操作员会自动将定制证书重新装入到名为 cpd的 Red Hat OpenShift 路径中。无需其他配置。

结果

平台 UI 路径将使用新主机名进行更新。访问自动化用户界面 URL 时，您可以在浏览器中看到新证书。

下一步操作

如果您已注册服务器，那么必须更新其证书。有关更多信息，请参阅以下链接。

用于 WebSphere Application Server Liberty ：在 Liberty 中添加可信证书
用于 WebSphere Application Server ：在密钥库中添加签名者证书
如何在 IBM 支持站点上将签名者/公钥/远程服务器证书添加到 WebSphere Application Server 信任库 trust.p12 或 java 信任库 cacerts