$ chmod +x ca-setup.sh- 文档
- Red Hat Advanced Cluster Security for Kubernetes
- 配置
- 添加受信任的证书颁发机构 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的首页)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- RHACS 云服务
- 架构
- 安装
- 配置
- 操作
- 集成
- 与镜像注册表集成
- 与 CI 系统集成
- 与 PagerDuty 集成
- 与 Slack 集成
- 使用通用 Webhook 集成
- 与 QRadar 集成
- 与 ServiceNow 集成
- 与 Sumo Logic 集成
- 与 Google Cloud Storage 集成
- 使用 syslog 协议集成
- 与 Amazon S3 集成
- 与兼容 S3 API 的服务集成
- 与 Google Cloud Security Command Center 集成
- 与 Splunk 集成
- 与镜像漏洞扫描程序集成
- 与 Jira 集成
- 与电子邮件集成
- 与云管理平台集成
- 使用短生命周期令牌集成
- 与 Microsoft Sentinel 通知程序集成
- 备份和恢复
- 升级
- roxctl CLI
- 收集器故障排除
- 中心故障排除
- 遥测
- 支持
- API 参考
- AdministrationEventService
- AdministrationUsageService
- AlertService
- APITokenService
- AuthProviderService
- AuthService
- CentralHealthService
- CloudSourcesService
- ClusterCVEService
- ClusterInitService
- ClustersService
- CollectionService
- ComplianceManagementService
- ComplianceService
- ConfigService
- CredentialExpiryService
- DBService
- DebugService
- DeclarativeConfigHealthService
- DelegatedRegistryConfigService
- DeploymentService
- DetectionService
- DiscoveredClustersService
- ExternalBackupService
- FeatureFlagService
- GroupService
- GRPCPreferencesService
- ImageCVEService
- ImageIntegrationService
- ImageService
- IntegrationHealthService
- ListeningEndpointsService
- MetadataService
- MitreAttackService
- NamespaceService
- NetworkBaselineService
- NetworkGraphService
- NetworkPolicyService
- 获取当前策略允许的部署对等节点 (GetAllowedPeersFromCurrentPolicyForDeployment)
- 应用网络策略 (ApplyNetworkPolicy)
- 应用部署的网络策略YAML (ApplyNetworkPolicyYamlForDeployment)
- 获取部署策略与基线之间的差异流 (GetDiffFlowsBetweenPolicyAndBaselineForDeployment)
- 获取网络拓扑图 (GetNetworkGraph)
- 获取为部署生成的基线网络策略 (GetBaselineGeneratedNetworkPolicyForDeployment)
- 生成网络策略 (GenerateNetworkPolicies)
- 获取网络策略列表 (GetNetworkPolicies)
- 获取网络拓扑图纪元 (GetNetworkGraphEpoch)
- 获取网络策略 (GetNetworkPolicy)
- 发送网络策略YAML (SendNetworkPolicyYAML)
- 模拟网络拓扑图 (SimulateNetworkGraph)
- 获取撤销修改后部署的差异流 (GetDiffFlowsFromUndoModificationForDeployment)
- 获取撤销修改 (GetUndoModification)
- 获取部署撤销修改 (GetUndoModificationForDeployment)
- NodeCVEService
- NodeService
- NotifierService
- PingService
- PodService
- PolicyCategoryService
- PolicyService
- 取消预演作业 (CancelDryRunJob)
- 查询预演作业状态 (QueryDryRunJobStatus)
- 提交预演策略作业 (SubmitDryRunPolicyJob)
- 预演策略 (DryRunPolicy)
- 导出策略 (ExportPolicies)
- 根据搜索结果获取策略 (PolicyFromSearch)
- 列出策略 (ListPolicies)
- 删除策略 (DeletePolicy)
- 获取策略 (GetPolicy)
- 获取策略的 MITRE ATT&CK 向量 (GetPolicyMitreVectors)
- 修补策略 (PatchPolicy)
- 更新策略 (PutPolicy)
- 导入策略 (ImportPolicies)
- 启用/禁用策略通知 (EnableDisablePolicyNotification)
- 创建策略 (PostPolicy)
- 重新评估策略 (ReassessPolicies)
- 获取策略类别列表 (GetPolicyCategories)
- ProbeUploadService
- ProcessBaselineService
- ProcessService
- RbacService
- ReportConfigurationService
- ReportService
- RoleService
- 计算有效访问范围 (ComputeEffectiveAccessScope)
- 获取我的权限 (GetMyPermissions)
- 列出权限集 (ListPermissionSets)
- 删除权限集 (DeletePermissionSet)
- 获取权限集 (GetPermissionSet)
- 更新权限集 (PutPermissionSet)
- 创建权限集 (PostPermissionSet)
- 获取资源 (GetResources)
- 获取角色列表 (GetRoles)
- 删除角色 (DeleteRole)
- 获取角色 (GetRole)
- 创建角色 (CreateRole)
- 更新角色 (UpdateRole)
- 获取集群和权限的命名空间 (GetNamespacesForClusterAndPermissions)
- 获取权限的集群 (GetClustersForPermissions)
- 列出简单的访问范围 (ListSimpleAccessScopes)
- 删除简单的访问范围 (DeleteSimpleAccessScope)
- 获取简单的访问范围 (GetSimpleAccessScope)
- 更新简单的访问范围 (PutSimpleAccessScope)
- 创建简单的访问范围 (PostSimpleAccessScope)
- SearchService
- SecretService
- SensorUpgradeService
- ServiceAccountService
- ServiceIdentityService
- SignatureIntegrationService
- SummaryService
- TelemetryService
- UserService
- VulnerabilityRequestService
- 延期漏洞 (DeferVulnerability)
- 标记漏洞为误报 (FalsePositiveVulnerability)
- 列出漏洞请求 (ListVulnerabilityRequests)
- 批准漏洞请求 (ApproveVulnerabilityRequest)
- 删除漏洞请求 (DeleteVulnerabilityRequest)
- 拒绝漏洞请求 (DenyVulnerabilityRequest)
- 获取漏洞请求 (GetVulnerabilityRequest)
- 撤销漏洞请求 (UndoVulnerabilityRequest)
- 更新漏洞请求 (UpdateVulnerabilityRequest)
- VulnMgmtService
×
添加受信任的证书颁发机构
了解如何将自定义受信任的证书颁发机构添加到 Red Hat Advanced Cluster Security for Kubernetes。
如果您在网络上使用企业证书颁发机构 (CA) 或自签名证书,则必须将 CA 的根证书作为受信任的根 CA 添加到 Red Hat Advanced Cluster Security for Kubernetes。
添加受信任的根 CA 允许:
-
中心和扫描器在与其他工具集成时信任远程服务器。
-
传感器信任您用于中心的自定义证书。
您可以在安装过程中或现有部署中添加额外的 CA。
|
您必须首先在已部署 Central 的集群中配置受信任的 CA,然后将更改传播到 Scanner 和 Sensor。 |
配置附加 CA
要添加自定义 CA
步骤
-
下载
ca-setup.sh脚本。-
如果您正在进行新的安装,则可以在
central-bundle/central/scripts/ca-setup.sh目录下的scripts目录中找到ca-setup.sh脚本。 -
您必须在与登录 OpenShift Container Platform 集群相同的终端中运行
ca-setup.sh脚本。
-
-
使
ca-setup.sh脚本可执行 -
要添加
-
单个证书,请使用
-f(文件)选项$ ./ca-setup.sh -f <certificate>-
您必须使用 PEM 编码的证书文件(任何扩展名)。
-
您还可以将
-u(更新)选项与-f选项一起使用来更新任何先前添加的证书。
-
-
一次添加多个证书,将所有证书移动到一个目录中,然后使用
-d(目录)选项$ ./ca-setup.sh -d <directory_name>-
您必须使用具有
.crt或.pem扩展名的 PEM 编码的证书文件。 -
每个文件只能包含一个证书。
-
您还可以将
-u(更新)选项与-d选项一起使用来更新任何先前添加的证书。
-
-
传播更改
配置受信任的 CA 后,必须使 Red Hat Advanced Cluster Security for Kubernetes 服务信任它们。
-
如果您在安装后配置了受信任的 CA,则必须重新启动 Central。
-
此外,如果您还添加了与镜像注册表集成的证书,则必须重新启动 Central 和 Scanner。
重新启动 Central 容器
您可以通过终止 Central 容器或删除 Central pod 来重新启动 Central 容器。
步骤
-
运行以下命令以终止 Central 容器
您必须等待至少 1 分钟,直到 OpenShift Container Platform 传播您的更改并重新启动 Central 容器。
$ oc -n stackrox exec deploy/central -c central -- kill 1 -
或者,运行以下命令删除 Central pod
$ oc -n stackrox delete pod -lapp=central
重新启动 Scanner 容器
您可以通过删除 pod 来重新启动 Scanner 容器。
步骤
-
运行以下命令删除 Scanner pod
-
在 OpenShift Container Platform 上
$ oc delete pod -n stackrox -l app=scanner -
在 Kubernetes 上
$ kubectl delete pod -n stackrox -l app=scanner
-
|
添加受信任的 CA 并配置 Central 后,这些 CA 将包含在您创建的任何新的 Sensor 部署包中。
|