20.5. SSL/TLS 証明書署名要求の作成

証明書署名要求を作成するには、以下の手順を実施します。

手順

  1. デフォルトの OpenSSL 設定ファイルをコピーします。

    $ cp /etc/pki/tls/openssl.cnf .
  2. 新しい openssl.cnf ファイルを編集して、director に使用する SSL パラメーターを設定します。変更するパラメーターの種別には以下のような例が含まれます。

    [req]
    distinguished_name = req_distinguished_name
    req_extensions = v3_req
    
    [req_distinguished_name]
    countryName = Country Name (2 letter code)
    countryName_default = AU
    stateOrProvinceName = State or Province Name (full name)
    stateOrProvinceName_default = Queensland
    localityName = Locality Name (eg, city)
    localityName_default = Brisbane
    organizationalUnitName = Organizational Unit Name (eg, section)
    organizationalUnitName_default = Red Hat
    commonName = Common Name
    commonName_default = 192.168.0.1
    commonName_max = 64
    
    [ v3_req ]
    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment
    subjectAltName = @alt_names
    
    [alt_names]
    IP.1 = 192.168.0.1
    DNS.1 = instack.localdomain
    DNS.2 = vip.localdomain
    DNS.3 = 192.168.0.1

    commonName_default を、以下のエントリーのいずれかに設定します。

    • IP アドレスを使用して SSL/TLS 経由で director にアクセスする場合には、undercloud.conf ファイルの undercloud_public_host パラメーターを使用します。
    • 完全修飾ドメイン名を使用して SSL/TLS 経由で director にアクセスする場合には、ドメイン名を使用します。

    alt_names セクションを編集して、以下のエントリーを追加します。

    • IP: SSL 経由で director にアクセスするためにクライアントが使用する IP アドレスリスト
    • DNS: SSL 経由で director にアクセスするためにクライアントが使用するドメイン名リスト。alt_names セクションの最後に DNS エントリーとしてパブリック API の IP アドレスも追加します。
    注記

    openssl.cnf に関する詳しい情報については、man openssl.cnf コマンドを実行してください。

  3. 以下のコマンドを実行し、証明書署名要求 (server.csr.pem) を生成します。

    $ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem

    -key オプションを使用して、OpenStack SSL/TLS 鍵を指定するようにしてください。

このコマンドにより、証明書署名要求として server.csr.pem ファイルが生成されます。このファイルを使用して OpenStack SSL/TLS 証明書を作成します。