Как можно сгенерировать сертификат пользователя на образ Redhat-SSO для OpenShift

Я использую шаблон sso72-x509-postgresql-persistent, который основан на Redhat-SSO и Keycloak, для создания приложения в OpenShift. Я собираюсь включить режим взаимного SSL, так что пользователь должен предоставить только свой сертификат вместо имени пользователя и пароля в своем запросе.

Но в документе https://access.redhat.com/documentation/en-us/red_hat_single_sign-on/7.2/html-single/red_hat_single_sign-on_for_openshift/index сказано, что шаблон автоматически генерирует "хранилище ключей HTTPS и RH". -SSO хранилище доверенных сертификатов, поддерживаемое постоянной базой данных PostgreSQL."

Поэтому классический способ использования openssl/keytool для генерации закрытого ключа пользователя, создания CSR, подписания CSR с помощью CA и импорта сертификата клиента в хранилище доверенных сертификатов не будет работать, поскольку нет документа, описывающего, где хранятся ключи и хранилища. в базе данных.

Существуют API для генерации сертификатов атрибутов клиента ( https://access.redhat.com/webassets/avalon/d/red-hat-single-sign-on/version-7.2/restapi/), но их нельзя смешивать с пользовательскими сертификатами.

Существуют ли какие-либо методы высокого уровня, такие как командная строка или API, для импорта пользовательских сертификатов в образ sso72-x509-postgresql-persistent для OpenShift? Это должно быть динамично, потому что новые пользователи могут приходить во время деловой поездки.