Установить доверенный сертификат

Доверенный сертификат является корневым сертификатом удостоверяющего центра (Certificate Authority, CA), который используется для проверки подлинности сертификатов. Доверенные сертификаты хранятся в специальных каталогах на уровне операционной системы Linux.

Чтобы операционная система доверяла вашим сертификатам, выписанным корпоративным центром сертификации, добавьте в платформу корневой сертификат этого центра в качестве доверенного. Например, это необходимо сделать, когда вы добавляете новый репозиторий или Registry, которые работают на хосте с корпоративным сертификатом.

Создание доверенного сертификата

Создание доверенного сертификата осуществляется с помощью ресурса NCI на странице Конфигурация узлов. Создайте объект NCI, в селекторе узлов выберите “kubernetes.io/os: linux”, в блоке “Настраиваемые разделы” выберите “Сертификаты”. Добавьте доверенный сертификат и укажите данные вашего сертификата корпоративного центра сертификации в боковом окне добавления.

Варианты добавления доверенного сертификата:

  • Указать путь (URL) до расположения корневого сертификата центра сертификации в вашей директории. Введите URL с указанием протокола https или без прямого указания протокола. Например, https://example.com/corp_ca.crt. Если протокол не указан, укажите порт. Если протокол и порт не указаны, будет автоматически добавлен порт 443.
  • Указать данные сертификата в виде ---BEGIN CERTIFICATE---XXXXXXXXXX---END CERTIFICATE---.

Подробнее о конфигурации NCI.

Пример Node Config Item (NCI), конфигурация которого объявляет корпоративный сертификат доверенным в платформе:

apiVersion: node.shturval.tech/v1beta2
kind: NodeConfigItem
metadata:
  name: admin-test
spec:
  certificates:
  - exist: true
    name: cert.crt
    url: https://example.com/corp_ca.crt
  nodeconfigselector:
    kubernetes.io/os: linux