我使用的模板sso72-x509-postgresql-persistent(基于Redhat-SSO和Keycloak)在OpenShift中创建应用程序。我将启用其双向SSL模式,以便用户只需在请求中提供其证书即可,而无需提供用户名和密码。
但是文档https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html-single/red_hat_single_sign-on_for_openshift/index#reencrypt-templates告诉我,该模板会自动生成“ HTTPS密钥库和RH-SSO信任库,并由持久PostgreSQL数据库支持。”
因此,使用经典的方式通过openssl / keytool生成用户私钥,创建CSR,用CA签名CSR并将客户端证书导入信任库将无法使用,因为没有文档描述密钥和密钥的位置。商店将保留在数据库中。
有些API可以生成客户端属性证书(https://access.redhat.com/webassets/avalon/d/red-hat-single-sign-on/version-7.2/restapi/#_client_attribute_certificate_resource),但不能与用户证书混淆。
是否有任何高级方法(例如命令行或API)将用户证书导入到OpenShift的sso72-x509-postgresql-persistent映像中?它应该是动态的,因为新用户可以在业务运行期间进入。