Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
9.5. 创建 SSL/TLS 证书签名请求
下一步为 overcloud 创建证书签名请求。复制默认 OpenSSL 配置文件以进行自定义。
$ cp /etc/pki/tls/openssl.cnf .
编辑自定义 openssl.cnf 文件并设置用于 overcloud 的 SSL 参数。一个要修改的参数类型的示例包括:
[req] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] countryName = Country Name (2 letter code) countryName_default = AU stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Queensland localityName = Locality Name (eg, city) localityName_default = Brisbane organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = Red Hat commonName = Common Name commonName_default = 10.0.0.1 commonName_max = 64 [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] IP.1 = 10.0.0.1 DNS.1 = 10.0.0.1 DNS.2 = myovercloud.example.com
将 commonName_default 设置为以下之一:
-
如果使用 IP 通过 SSL/TLS 访问,请使用公共 API 的虚拟 IP。使用环境文件中的
PublicVirtualFixedIPs参数设置这个 VIP。更多信息请参阅 第 8.4 节 “分配可预测虚拟 IP”。如果您不使用可预测的 VIP,director 会从ExternalAllocationPools参数中定义的范围分配第一个 IP 地址。 - 如果使用完全限定域名通过 SSL/TLS 访问,请使用域名。
在 alt_names 部分中包括与 IP 条目和 DNS 条目相同的公共 API IP 地址。如果也使用 DNS,请在同一部分中将服务器的主机名作为 DNS 条目包含在内。有关 openssl.cnf 的更多信息,请运行 man openssl.cnf。
运行以下命令以生成证书签名请求(server.csr.pem):
$ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem
确保在 第 9.4 节 “创建 SSL/TLS 密钥” 中为 -key 选项包含您创建的 SSL/TLS 密钥。
使用 server.csr.pem 文件在下一部分中创建 SSL/TLS 证书。