База знаний
Войти

Как установить доверенный сертификат

Доверенный сертификат является корневым сертификатом удостоверяющего центра (Certificate Authority, CA), который используется для проверки подлинности сертификатов. Доверенные сертификаты хранятся в специальных каталогах на уровне операционной системы Linux.

Чтобы операционная система доверяла вашим сертификатам, выписанным корпоративным центром сертификации, необходимо добавить в Комплекс корневой сертификат этого центра в качестве доверенного. Например, это необходимо сделать, если добавляется новый репозиторий или Registry, которые работают на хосте с корпоративным сертификатом.

Создание доверенного сертификата

Создание доверенного сертификата осуществляется с помощью ресурса NCI на странице "Конфигурация узлов".

Чтобы создать объект NCI, нужно в селекторе узлов выбрать "kubernetes.io/os: linux", в блоке "Настраиваемые разделы" выбрать "Доверенные сертификаты", добавить доверенный сертификат и указать данные вашего сертификата корпоративного центра сертификации в модальном окне (рисунок 71).

Рисунок 71 ‒ Добавление NCI

Варианты добавления доверенного сертификата:

  • Из источника ‒ Указать путь (URL) до расположения корневого сертификата центра сертификации в вашей директории. Ввести URL с указанием протокола HTTPS или без прямого указания протокола, например "https://example.com/corp_ca.crt". Если протокол не указан, указать порт. Если протокол и порт не указаны, будет автоматически добавлен порт 443 (рисунок 72).

Рисунок 72 ‒ Добавление доверенного сертификата

  • Ручная загрузка ‒ Загрузить файл доверенного сертификата (рисунок 73).

Рисунок 73 ‒ Загрузка файла доверенного сертификата

Подробнее о конфигурации NCI см. в разделе "Конфигурация узлов (NCI)" Руководства.

Пример Node Config Item (NCI), конфигурация которого объявляет корпоративный сертификат доверенным в Комплексе:

apiVersion: node.shturval.tech/v1beta2
kind: NodeConfigItem
metadata:
name: corp-ca
spec:
certificates:
‒ exist: true
name: cert.crt
url: https://example.com/corp_ca.crt
nodeconfigselector:
kubernetes.io/os: linux