14.5. SSL/TLS 証明書署名要求の作成

オーバークラウドの証明書署名要求を作成します。

手順

  1. カスタマイズを実施できるように、デフォルトの OpenSSL 設定ファイルをコピーします。

    $ cp /etc/pki/tls/openssl.cnf .
  2. カスタムの openssl.cnf ファイルを編集し、オーバークラウドに使用する SSL パラメーターを設定します。たとえば、以下のパラメーターを変更します。

    [req]
    distinguished_name = req_distinguished_name
    req_extensions = v3_req
    
    [req_distinguished_name]
    countryName = Country Name (2 letter code)
    countryName_default = AU
    stateOrProvinceName = State or Province Name (full name)
    stateOrProvinceName_default = Queensland
    localityName = Locality Name (eg, city)
    localityName_default = Brisbane
    organizationalUnitName = Organizational Unit Name (eg, section)
    organizationalUnitName_default = Red Hat
    commonName = Common Name
    commonName_default = 10.0.0.1
    commonName_max = 64
    
    [ v3_req ]
    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment
    subjectAltName = @alt_names
    
    [alt_names]
    IP.1 = 10.0.0.1
    DNS.1 = 10.0.0.1
    DNS.2 = myovercloud.example.com

    commonName_default は以下のいずれか 1 つに設定します。

    • SSL/TLS でアクセスするのに IP を使用する場合には、パブリック API に仮想 IP を使用します。この仮想 IP は、環境ファイルで PublicVirtualFixedIPs パラメーターを使用して設定します。詳細は、「予測可能な仮想 IP の割り当て」を参照してください。予測可能な仮想 IP を使用していない場合には、director は ExternalAllocationPools パラメーターで定義されている範囲から最初の IP アドレスを割り当てます。
    • SSL/TLS でアクセスするのに完全修飾ドメイン名を使用する場合には、代わりにドメイン名を使用します。

      alt_names セクションの IP エントリーおよび DNS エントリーとして、同じパブリック API の IP アドレスを追加します。DNS も使用する場合は、同じセクションに DNS エントリーとしてそのサーバーのホスト名を追加します。openssl.cnf に関する詳しい情報については、man openssl.cnf を実行します。

  3. 以下のコマンドを実行し、証明書署名要求 (server.csr.pem) を生成します。

    $ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem

    「SSL/TLS 鍵の作成」で作成した SSL/TLS 鍵を、-key オプションで追加するようにしてください。

次の項では、この server.csr.pem ファイルを使用して SSL/TLS 証明書を作成します。