14장. 오버클라우드 공용 끝점에서 SSL/TLS 활성화
기본적으로 오버클라우드는 오버클라우드 서비스에 암호화되지 않은 엔드포인트를 사용합니다. 오버클라우드에서 SSL/TLS를 활성화하려면 CA(인증 기관) 솔루션을 사용하는 것이 좋습니다.
CA(인증 기관) 솔루션을 사용하는 경우 인증서 갱신, 인증서 해지 목록(CRL) 및 업계 허용 암호화와 같은 프로덕션 준비 솔루션이 있습니다. Red Hat IdM(Identity Manager)을 CA로 사용하는 방법에 대한 자세한 내용은 Ansible을 사용하여 TLS-e 구현을 참조하십시오.
다음 수동 프로세스를 사용하여 공용 API 엔드포인트에 대해 SSL/TLS만 활성화할 수 있으며 Internal 및 Admin API는 암호화되지 않은 상태로 유지됩니다. CA를 사용하지 않는 경우 SSL/TLS 인증서도 수동으로 업데이트해야 합니다. 자세한 내용은 SSL/TLS 인증서 수동 업데이트를 참조하십시오.
사전 요구 사항
- 공용 API의 엔드포인트를 정의하는 네트워크 격리입니다.
-
openssl-perl패키지가 설치되어 있습니다. - SSL/TLS 인증서가 있습니다. 자세한 내용은 사용자 정의 SSL/TLS 인증서 구성을 참조하십시오.
14.1. 서명 호스트 초기화
서명 호스트는 새 인증서를 생성하고 인증 기관을 통해 서명하는 호스트입니다. 선택한 서명 호스트에서 SSL 인증서를 생성한 적이 없는 경우 새 인증서에 서명할 수 있도록 호스트를 초기화해야 할 수 있습니다.
절차
/etc/pki/CA/index.txt파일에는 서명된 모든 인증서의 기록이 포함되어 있습니다. 파일 시스템 경로와index.txt파일이 있는지 확인합니다.$ sudo mkdir -p /etc/pki/CA $ sudo touch /etc/pki/CA/index.txt
/etc/pki/CA/serial파일은 서명할 다음 인증서에 사용할 다음 일련번호를 식별합니다. 이 파일이 있는지 확인합니다. 파일이 없는 경우 새 시작 값으로 새 파일을 생성합니다.$ echo '1000' | sudo tee /etc/pki/CA/serial
