Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
A.5. SSL/TLS 인증서 서명 요청 생성
다음 절차에서는 언더클라우드 또는 오버클라우드에 대한 인증서 서명 요청을 생성합니다.
사용자 정의할 기본 OpenSSL 구성 파일을 복사합니다.
$ cp /etc/pki/tls/openssl.cnf .
사용자 정의 openssl.cnf
파일을 편집하고 director에 사용할 SSL 매개변수를 설정합니다. 수정할 매개변수 유형의 예제는 다음과 같습니다.
[req] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] countryName = Country Name (2 letter code) countryName_default = AU stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Queensland localityName = Locality Name (eg, city) localityName_default = Brisbane organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = Red Hat commonName = Common Name commonName_default = 192.168.0.1 commonName_max = 64 [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] IP.1 = 192.168.0.1 DNS.1 = instack.localdomain DNS.2 = vip.localdomain DNS.3 = 192.168.0.1
commonName_default
를 다음 중 하나로 설정합니다.
-
IP 주소를 사용하여 SSL/TLS를 통해 액세스하는 경우
undercloud.conf
에서undercloud_public_host
매개변수를 사용합니다. - 정규화된 도메인 이름을 사용하여 SSL/TLS를 통해 액세스하는 경우 도메인 이름을 대신 사용합니다.
subjectAltName = @alt_names
를 v3_req
섹션에 추가합니다.
alt_names
섹션을 편집하여 다음 항목을 포함합니다.
-
IP
- 클라이언트가 SSL을 통해 director에 액세스하는 IP 주소 목록입니다. -
DNS
- 클라이언트가 SSL을 통해 director에 액세스하는 도메인 이름 목록입니다. 또한 공용 API IP 주소를alt_names
섹션 끝에 DNS 항목으로 추가합니다.
openssl.cnf
에 대한 자세한 내용을 보려면 man openssl.cnf
를 실행합니다.
다음 명령을 실행하여 인증서 서명 요청(server.csr.pem
)을 생성합니다.
$ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem
-key
옵션에 대해 A.4절. “SSL/TLS 키 생성” 에서 생성한 SSL/TLS 키를 포함해야 합니다.
다음 섹션에서 server.csr.pem
파일을 사용하여 SSL/TLS 인증서를 생성합니다.