如使用私有证书颁发机构(CA),则必须配置SystemLink Enterprise使用私有CA来建立信任。

注: 关于传输层安全性(TLS)、公钥基础设施(PKI)证书和CA的全面介绍,不在本用户手册的范围之内。本主题假定您已事先了解这些概念并可访问有效证书。
下列活动可能会使用私有CA。
  • SystemLink Enterprise TLS终止使用的签名证书。

    用于API入口TLS终止的公共证书链必须作为密钥部署到SystemLink Enterprise Kubernetes命名空间。部署公共证书链后,SystemLink Enterprise可执行下列操作:

    • 调用SystemLink API。例如,运行调用测试监视器API的Jupyter Notebook。
    • 自动部署私有CA套件至连接的测试系统。
  • 使用TLS与SystemLink Enterprise的外部依赖项进行通信。外部依赖项包括MongoDB、PostgreSQL等。

    必须在global.trustedCertificatesSecrets中引用公共证书链,这样SystemLink Enterprise服务才可以将该信任链添加到容器根信任存储区中。

配置私有证书颁发机构

在部署SystemLink Enterprise之前,请为私有CA部署公共证书信任链的副本。

开始之前,请获取私有证书颁发机构的公共证书信任链。仅能使用可信来源的证书。
按照下列步骤,配置SystemLink Enterprise访问使用私有CA签名证书的端点。
  1. 将公共CA作为Kubernetes密钥部署至SystemLink Enterprise使用的同一命名空间。
    见以下范例。
    kubectl --namespace namespace create secret generic my-ca-certificate --from-file=cert=path/to/my-ca.crt
  2. 打开systemlink-values.yaml
  3. 设置global.trustedCertificatesSecrets密钥。见以下范例。 
     
    trustedCertificatesSecrets: 
   - secretName: "my-ca-certificate" 
     key: "certificate"
    配置global.trustedCertificatesSecrets后,SystemLink Enterprise就能与CA建立信任关系,并与使用TLS保护的资源进行通信。
  4. 可选: 配置客户端信任CA,以便客户端与SystemLink Enterprise通信。
    1. 设置global.apiHostCertificateSecret密钥。 
       
    apiHostCertificateSecret: 
   - secretName: "my-ca-certificate" 
     key: "certificate"
    2. global.deployApiHostCertificateToSystems设置为true
  5. 保存并关闭systemlink-values.yaml
  6. 要部署新配置,请运行Helm升级命令。
SystemLink Enterprise将这些受信任的证书部署至由SystemLink Enterprise管理的所有系统。