クライアント/サーバーTLS暗号化用のCA署名証明書のインポート

TimesTenオペレータでは、Oracleウォレットの作成、CA署名証明書の使用、Transport Layer Security (TLS)を使用したクライアント/サーバー暗号化の自動構成が可能です。

構成プロセスでは、CA署名証明書を取得するステップを完了していることを前提としています。たとえば、中間CAがある場合、ルートCAによって署名された中間証明書、中間CAによって署名されたサーバー証明書、ルートCAおよびサーバーの秘密キーが必要です。証明書とサーバーの秘密キーを取得したら、それらをpkcs12ファイルに連結する必要があります。次に、TimesTenオペレータが証明書をインポートし、クライアント/サーバーTLS暗号化を構成するのに必要なステップを実行します。

1. サーバー証明書、中間証明書およびルートCAを連結して、完全な証明書チェーンを作成します。

   cat server.pem intermediate.pem root.pem > completeServer.pem

2. 証明書をサーバーの秘密キーと組み合せて、パスワードで保護されたPKCS#12ファイルを作成します。

   openssl pkcs12 -export -in completeServer.pem -inkey privkey.pem -out server.p12 -passout pass:welcome1

3. Kubernetes Secretの作成

   kubectl create secret generic tt-server-pfx-secret --from-file=server=server.p12 --from-literal=password=welcome1

4. TimesTenClassic CRDのcustomClientTLSセクションを使用して、TimesTenClassicオブジェクトを作成します。

   apiVersion: timesten.oracle.com/v5 
   kind: TimesTenClassic 
   metadata:   
     name: sampletls 
   spec:   
     ttspec:     
       storageClassName: local-storage     
       storageSize: 50Gi     
       image: container-registry.oracle.com/timesten/timesten:26.1.1.36.0
       imagePullSecret: sekret
       customClientTLS:       
         encryption: required       
         gracePeriod: 48       
         ciphersuites: TLS_RSA_WITH_AES_128_GCM_SHA256
         serverCert: tt-server-pfx-secret
     dbConfigMap: 
     - sampletls

5. TimesTenClassicオブジェクトの作成

   kubectl create -f sampletls

TimesTenオペレータは、クライアント/サーバー暗号化のためのTLSを構成するのに必要なステップを実行します。