Я использую шаблон sso72-x509-postgresql-persistent, который основан на Redhat-SSO и Keycloak, для создания приложения в OpenShift.Я собираюсь включить его режим взаимного SSL, так что пользователь должен предоставить только свой сертификат вместо имени пользователя и пароля в своем запросе.
Но документ https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html-single/red_hat_single_sign-on_for_openshift/index#reencrypt-templates сказал мне, что шаблонавтоматически генерирует «хранилище ключей HTTPS и хранилище доверенных сертификатов RH-SSO, поддерживаемое постоянной базой данных PostgreSQL».
Поэтому классический способ использования openssl / keytool для генерации личного ключа пользователя, создания CSR, подписания CSR с помощью CA и импорта сертификата клиента в хранилище доверенных сертификатов не будет работать, поскольку нет документа, описывающего, гдеключи и хранилища сохраняются в базе данных.
Существуют API для генерации клиентских сертификатов (https://access.redhat.com/webassets/avalon/d/red-hat-single-sign-on/version-7.2/restapi/#_client_attribute_certificate_resource),, но их нельзя смешивать с пользовательскими сертификатами.
Существуют ли какие-либо высокоуровневые методы, такие как командная строка или API дляимпортировать пользовательские сертификаты в образ sso72-x509-postgresql-persistent для OpenShift? Это должно происходить динамически, поскольку новые пользователи могут приходить во время бизнес-запуска.