schmandr
commented
3 years ago "Komischerweise" ist das seit gewisser Zeit kein Problem mehr; es geht unterdessen ohne Zertifikat auf der Route.
Closed schmandr closed 3 years ago
schmandr
commented
3 years ago "Komischerweise" ist das seit gewisser Zeit kein Problem mehr; es geht unterdessen ohne Zertifikat auf der Route.
Im Moment wird die SSL-Verschlüsselung auf der Route terminiert. Hierzu ist auf der Route das Zertifikat für *.so.ch nötig, das aber irgendwann abläuft und erneuert werden muss.
Andere Variante wäre, die SSL-Verbindung bis zum Container durchzureichen. OpenShift kann in diesem Fall ein Zertifikat generieren, das man in den Pod einbinden kann. Dies wurde auch für andere Pods im Projekt gdi so gelöst. Anleitung: https://torstenwalter.de/openshift/nginx/sidecar/tls/encryption/certificates/2017/08/07/nginx-as-sidecar-container-to-secure-openshift-traffic.html
Damit das alles geht, muss der Container neben dem Port 8080 auch 8443 exposen, und die ganze Apache-Konfiguration muss SSL-tauglich gemacht werden.
Weiter muss dann das Deployment in OpenShift vermutlich über ein OpenShift-Template erfolgen, wie in der verlinkten Anleitung beschrieben.
https ist übrigens deshalb nötig, weil die Anfragen auf den WMTS über den API Gateway geschlauft werden. Der Reverse Proxy von nginx will https-Verbindungen nicht auf http weiterleiten.