Red Hat Training
A Red Hat training course is available for Red Hat Ceph Storage
2.3. 将 SSL 与 Civetweb 一起使用
在 Red Hat Ceph Storage 1 中,对 Ceph 对象网关的 Civetweb SSL 支持依赖于 HAProxy 和 keepalived。在 Red Hat Ceph Storage 2 及更新的版本中,Civetweb 可以使用 OpenSSL 库来提供传输层安全性(TLS)。
重要
生产部署 MUST 使用 HAProxy 和 keepalived 在 HAProxy 终止 SSL 连接。建议仅通过 Civetweb 使用 SSL 进行 中小型 测试和预生产 部署。
若要将 SSL 与 Civetweb 一起使用,请从与网关节点主机名匹配的证书颁发机构(CA)获取证书。红帽建议从具有 主题备用名称
字段的 CA 获取证书,并使用通配符与 S3 样式子域一起使用。
Civetweb 需要在单个 .pem
文件中提供密钥、服务器证书以及任何其他证书颁发机构或中间证书。
重要
a .pem
文件包含 secret key。保护 .pem
文件免受未经授权的访问。
若要配置 SSL 的端口,请将端口号添加到 rgw_frontends
,并将 s
附加到端口号,以指明它是一个安全端口。另外,使用指向 .pem
文件的路径添加 ssl_certificate
。例如:
[client.rgw.{hostname}] rgw_frontends = "civetweb port=443s ssl_certificate=/etc/ceph/private/server.pem"