如何在OpenShift Enterprise3.2中为hawkular度量创建重新加密路由

Question

根据启用集群度量的文档，我应该按照下面的语句创建重新加密路由。

$ oc create route reencrypt hawkular-metrics-reencrypt \
--hostname hawkular-metrics.example.com \ 
--key /path/to/key \ 
--cert /path/to/cert \ 
--ca-cert /path/to/ca.crt \ 
 --service hawkular-metrics
 --dest-ca-cert /path/to/internal-ca.crt 

• 对于这些密钥和证书，我到底应该使用什么？
• 这些是已经存在于某个地方，还是我需要创建它们？

Answer 1

Openshift Metrics开发者在这里。

如果文档不够清楚，很抱歉。

该路由用于公开Hawkular，特别是向运行OpenShift控制台的浏览器公开。

如果不指定任何证书，系统将使用自签名证书。浏览器将抱怨此自签名证书不受信任，但您通常只需单击即可接受它。如果您对此表示满意，则不需要执行任何额外的步骤。

如果希望浏览器默认信任此连接，则需要提供由受信任的证书颁发机构签名的自己的证书。这与在https下运行正常站点时必须生成自己的证书的方式非常相似。

来自以下命令：

$ oc创建路由，重新加密hawkular-度量-重新加密主机名hawkular-emeics.example.com\-key /path/to/key \-cert /path/to/cert \-ca-cert /path/to/ca.crt \-服务鹰式-度量-最大-ca-cert/path/to/ca.crt

“证书”对应于由证书颁发机构签署的证书

' key‘对应于证书的密钥

“‘ca cert”对应于证书颁发机构证书。

‘cert ca-cert’对应于证书颁发机构，它对度量部署人员生成的自签名证书进行签名。

docs metrics.html#metrics-reencrypting-route应该解释如何从系统中获得最高级的ca证书。

Answer 2

首先，据我所知，使用重新加密路由是可选的。文档提到了部署而不导入任何证书：

oc secrets new metrics-deployer nothing=/dev/null

您应该能够从这个开始，并使hawkular工作(例如，您将能够卷曲'-k‘选项)。但是重新加密路由有时是必要的，一些客户拒绝与不受信任的证书通信.

本页解释了这里所需的证书：metrics.html#metrics-reencrypting-route

注意，如果您觉得更方便，也可以从web控制台配置它:通过host)/console/project/openshift-infra/browse/routes，您可以创建一个新的路由并从该页面上传证书文件。在"TLS终止“下选择”重新加密“，然后提供4个证书文件。

如果您不知道如何生成自签名证书，可以按照这里描述的步骤：https://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/。您将得到一个rootCA.pem文件(用于"CA证书“)、一个device.key文件(或将其命名为hawkular.key，并将其上传为私钥)和一个device.crt文件(您可以将其命名为hawkular.pem，这是PEM格式证书)。当被问到公共名称时，请确保为您的hawkular服务器输入主机名，比如“hawkular-emeics.example.com”。

最后一个要提供的是Hawkular使用的当前自签名证书，在所谓的“目的地CA证书”下。OpenShift文档解释了如何获得它:运行

base64 -d <<< \
`oc get -o yaml secrets hawkular-metrics-certificate \
| grep -i hawkular-metrics-ca.certificate | awk '{print $2}'`

如果您正在使用web控制台，请将其保存到一个文件中，然后在目标CA证书下上传它。

现在你应该完成重新加密了。