Wenn Sie eine private Zertifizierungsstelle (CA) verwenden, müssen Sie SystemLink Enterprise für die Verwendung der CA konfigurieren.

Hinweis Eine vollständige Beschreibung von TLS-Zertifikaten (Transport Layer Security), PKI-Zertifikaten (Public Key Infrastructure) und CA-Zertifikaten gehört nicht zu den Themenbereichen dieser Benutzeranleitung. Vorkenntnisse zu diesen Begriffen und Zugriff auf gültige Zertifikate werden hier vorausgesetzt.
Möglicherweise verwenden Sie eine private CA für die folgenden Aktivitäten.
  • Signieren von Zertifikaten für SystemLink Enterprise TLS-Terminierung.

    Die Kette öffentlicher Zertifikate, die für TLS-Terminierung am API-Ingress verwendet wird, muss als Secret in den Kubernetes-Namensraum für SystemLink Enterprise übertragen werden. Das Übertragen der öffentlichen Zertifikatskette ermöglicht SystemLink Enterprise Folgendes:

    • Aufrufen von SystemLink-APIs. Sie starten beispielsweise ein Jupyter Notebook, das die Testüberwachungs-API aufruft.
    • Automatisches Übertragen privater CA-Bundle an die angeschlossenen Tester.
  • Verwenden Sie TLS für die Kommunikation mit externen Abhängigkeiten von SystemLink Enterprise. Externe Abhängigkeiten können MongoDB, PostgreSQL usw. sein.

    Die öffentliche Zertifikatskette muss in global.trustedCertificatesSecrets referenziert werden, damit SystemLink Enterprise-Dienste diese "Trust"-Kette zu ihrem Container-Stammverzeichnis hinzufügen können.

Konfigurieren privater Zertifizierungsstellen

Stellen Sie vor dem Deployment von SystemLink Enterprise eine Kopie der öffentlichen, vertrauenswürdigen Zertifikatskette für die private CA bereit.

Bevor Sie beginnen, ermitteln Sie die öffentliche, vertrauenswürdige Zertifikatskette für die private Zertifizierungsstelle. Verwenden Sie nur ein Zertifikat von einer vertrauenswürdigen Quelle.
Zum Konfigurieren von SystemLink Enterprise für den Zugriff auf Endpunkte, die von einer privaten CA signierte Zertifikate verwenden, gehen Sie wie folgt vor:
  1. Verteilen Sie die öffentliche CA als Kubernetes-Secret im selben Namensraum, der von SystemLink Enterprise verwendet wird.
    Sehen Sie sich das folgende Beispiel an.
    kubectl --namespace namespace create secret generic my-ca-certificate --from-file=cert=path/to/my-ca.crt
  2. Öffnen Sie systemlink-values.yaml.
  3. Legen Sie das Secret global.trustedCertificatesSecrets fest. Sehen Sie sich das folgende Beispiel an. 
     
    trustedCertificatesSecrets: 
   - secretName: "my-ca-certificate" 
     key: "certificate"
    Durch das Konfigurieren von global.trustedCertificatesSecrets kann SystemLink Enterprise Vertrauen mit der CA herstellen und mit Ressourcen kommunizieren, die mit TLS gesichert sind.
  4. Optional: Konfigurieren Sie Ihre Clients so, dass sie der CA vertrauen, so dass die Clients mit SystemLink Enterprise kommunizieren können.
    1. Setzen Sie das Secret global.apiHostCertificateSecret fest. 
       
    apiHostCertificateSecret: 
   - secretName: "my-ca-certificate" 
     key: "certificate"
    2. Setzen Sie global.deployApiHostCertificateToSystems auf True.
  5. Speichern und schließen Sie systemlink-values.yaml.
  6. Führen Sie zum Übertragen der neuen Konfiguration den Befehl "Helm upgrade" aus.
SystemLink Enterprise überträgt diese vertrauenswürdigen Zertifikate auf alle von SystemLink Enterprise verwalteten Systeme.