在Openshift上为Keycloak配置TLS

Question

3

我希望在OpenShift上部署Keycloak并配置SSL。我使用的是jboss/keycloak镜像，它使用最新的Keycloak版本4.6.final。但我在某个地方读到Keycloak不接受OpenShift上可用的默认TLS证书。

我的目的是在OpenShift上通过https运行Keycloak应用程序。它在http上运行良好，但当我启用TLS创建路由时，它无法运行。我认为我在部署配置中缺少某些参数。

- ash007

4

我已经将KeyCloak运行在安全路由之后，并进行了边缘终止（不是重新加密或透传）。我没有发现配置方面有任何异常，除非你确保已将环境变量“PROXY_ADDRESS_FORWARDING”设置为“true”。请问您是否正在尝试使用边缘、重新加密或透传安全路由？ - Graham Dumpleton

我正在使用边缘 TLS 终止。 - ash007

2

哦，看起来环境变量缺失了。当我将PROXY_ADDRESS_FORWARDING设置为true时，它就可以工作了。谢谢 Graham。 - ash007

2个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Abdennour TOUMI · Answer 1

为了配置具有重新加密终止的路由：

oc create route reencrypt <NAME> --service=keycloak --port=keycloak --cert=<CERTIFICATEFILE>.crt --key=<KEYFILE>.key --hostname=sso.apps.company.lan

- rdevries · Answer 2

您必须在 Openshift 中配置一个带有重新加密终止的路由。

在我的情况下，这解决了问题。

您需要从前端到 Openshift 路由器使用 SSL，并从路由器到后端 Pod 使用 SSL。这需要重新加密终止。

在您的路由中，您必须定义 4 个证书：

TLS 证书 TLS 密钥 CA 证书（您的中间证书）目标证书（您在 Keycloak Pod 上使用的证书）

对于目标证书，我已经在我的 Alpine Pod 中使用了 /etc/ssl/certs（ca-certificates.crt）中的证书。