暗号化スイートおよび ECDH 曲線の設定

TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

サポートされる ECDH 曲線は以下のとおりです。

CurveP256 CurveP384 CurveP521 X25519

1.11.4. 外部認証局キーおよび証明書の追加

デフォルトで、Red Hat OpenShift Service Mesh は自己署名ルート証明書およびキーを生成し、それら を使用してワークロード証明書に署名します。ユーザー定義の証明書およびキーを使用して、ユーザー 定義のルート証明書を使用してワークロード証明書に署名することもできます。このタスクは、証明書 およびキーをサービスメッシュにプラグインするサンプルを示しています。

前提条件 前提条件

証明書を設定するには、相互 TLS を有効にして Red Hat OpenShift Service Mesh をインストー ルしておく必要があります。

この例では、Maistra リポジトリーからの証明書を使用します。実稼働環境の場合は、認証局か ら独自の証明書を使用します。

これらの手順で結果を確認するには、Bookinfo サンプルアプリケーションをデプロイする必要 があります。

1.11.4.1. 既存の証明書およびキーの追加 既存の証明書およびキーの追加

既存の署名 (CA) 証明書およびキーを使用するには、CA 証明書、キー、ルート証明書が含まれる信頼 ファイルのチェーンを作成する必要があります。それぞれの対応する証明書について以下のファイル名 をそのまま使用する必要があります。CA 証明書は ca-cert.pem と呼ばれ、キーは ca-key.pem であ り、ca-cert.pem を署名するルート証明書は root-cert.pem と呼ばれます。ワークロードで中間証明書 を使用する場合は、cert-chain.pem ファイルでそれらを指定する必要があります。

以下の手順に従い、証明書をサービスメッシュに追加します。Maistra リポジトリーからサンプル証明 書をローカルに保存し、<path> を証明書へのパスに置き換えます。

1. シークレット cacert を作成します。これには、入力ファイルの ca-cert.pem、 ca-key.pem、root-cert.pem および cert-chain.pem が含まれます。

2. ServiceMeshControlPlane リソースで、spec.security.dataPlane.mtls: true を true に設定 し、以下の例のように certificateAuthority を設定します。デフォルトの rootCADir は

/etc/cacerts です。キーおよび証明書がデフォルトの場所にマウントされている場合

は、privateKey を設定する必要はありません。サービスメッシュは、secret-mount ファイル から証明書およびキーを読み取ります。

3. ワークロードが新規証明書を追加することをすぐに確認するには、istio.* という名前のサービ スメッシュによって生成されたシークレットを削除します。この例では istio.default です。

サービスメッシュはワークロードの新規の証明書を発行します。

1.11.4.2. 証明書の確認 証明書の確認

Bookinfo サンプルアプリケーションを使用して、証明書が正しくマウントされていることを確認しま

す。最初に、マウントされた証明書を取得します。次に、Pod にマウントされた証明書を確認します。

1. Pod 名を変数 RATINGSPOD に保存します。

2. 以下のコマンドを実行して、プロキシーにマウントされている証明書を取得します。

/tmp/pod-root-cert.pem ファイルには、Pod に伝播されるルート証明書が含まれます。

/tmp/pod-cert-chain.pem ファイルには、ワークロード証明書と Pod に伝播される CA 証明書 が含まれます。

3. ルート証明書が Operator によって指定される証明書と同じであることを確認します。<path>

を証明書へのパスに置き換えます。

$ oc create secret generic cacerts -n istio-system --from-file=<path>/ca-cert.pem \ --from-file=<path>/ca-key.pem --from-file=<path>/root-cert.pem \

--from-file=<path>/cert-chain.pem

apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane spec:

security:

dataPlane:

mtls: true

certificateAuthority:

type: Istiod istiod:

type: PrivateKey privateKey:

rootCADir: /etc/cacerts

$ oc delete secret istio.default

$ RATINGSPOD=`oc get pods -l app=ratings -o jsonpath='{.items[0].metadata.name}'`

$ oc exec -it $RATINGSPOD -c istio-proxy -- /bin/cat /etc/certs/root-cert.pem > /tmp/pod-root-cert.pem

$ oc exec -it $RATINGSPOD -c istio-proxy -- /bin/cat /etc/certs/cert-chain.pem > /tmp/pod-cert-chain.pem

出力が空になることが予想されます。

4. CA 証明書が Operator で指定された証明書と同じであることを確認します。<path> を証明書 へのパスに置き換えます。

出力が空になることが予想されます。

5. ルート証明書からワークロード証明書への証明書チェーンを確認します。<path> を証明書への パスに置き換えます。

出力例 出力例

1.11.4.3. 証明書の削除 証明書の削除

追加した証明書を削除するには、以下の手順に従います。

1. シークレット cacerts を削除します。

2. ServiceMeshControlPlane リソースで自己署名ルート証明書を使用してサービスメッシュを再 デプロイします。

$ openssl x509 -in <path>/root-cert.pem -text -noout > /tmp/root-cert.crt.txt

$ openssl x509 -in /tmp/pod-root-cert.pem -text -noout > /tmp/pod-root-cert.crt.txt

$ diff /tmp/root-cert.crt.txt /tmp/pod-root-cert.crt.txt

$ sed '0,/^---END CERTIFICATE---/d' /tmp/pod-cert-chain.pem > /tmp/pod-cert-chain-ca.pem

$ openssl x509 -in <path>/ca-cert.pem -text -noout > /tmp/ca-cert.crt.txt

$ openssl x509 -in /tmp/pod-cert-chain-ca.pem -text -noout > /tmp/pod-cert-chain-ca.crt.txt

$ diff /tmp/ca-cert.crt.txt /tmp/pod-cert-chain-ca.crt.txt

$ head -n 21 /tmp/pod-cert-chain.pem > /tmp/pod-cert-chain-workload.pem

$ openssl verify -CAfile <(cat <path>/ca-cert.pem <path>/root-cert.pem) /tmp/pod-cert-chain-workload.pem

/tmp/pod-cert-chain-workload.pem: OK

$ oc delete secret cacerts -n istio-system

apiVersion: maistra.io/v2 kind: ServiceMeshControlPlane spec:

dataPlane:

mtls: true