Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

15.5. 创建 SSL/TLS 证书签名请求

下一个流程为 overcloud 创建证书签名请求。复制默认的 OpenSSL 配置文件以进行自定义。

$ cp /etc/pki/tls/openssl.cnf .

编辑自定义 openssl.cnf 文件并设置用于 overcloud 的 SSL 参数。一个要修改的参数类型的示例包括:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = AU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Queensland
localityName = Locality Name (eg, city)
localityName_default = Brisbane
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Red Hat
commonName = Common Name
commonName_default = 10.0.0.1
commonName_max = 64

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
IP.1 = 10.0.0.1
DNS.1 = 10.0.0.1
DNS.2 = myovercloud.example.com

commonName_default 设置为以下内容之一:

  • 如果使用 IP 通过 SSL/TLS 访问,请将虚拟 IP 用于公共 API。使用环境文件中的 PublicVirtualFixedIPs 参数设置此 VIP。更多信息请参阅 第 14.4 节 “分配可预测虚拟 IP”。如果您不使用可预测的 VIP,director 从 ExternalAllocationPools 参数中定义的范围分配第一个 IP 地址。
  • 如果使用完全限定域名通过 SSL/TLS 访问,则改为使用域名。

alt_names 部分中,包含与 IP 条目相同的公共 API IP 地址以及 DNS 条目。如果也使用 DNS,请在同一部分中包含服务器的主机名作为 DNS 条目。有关 openssl.cnf 的更多信息,请运行 man openssl.cnf

运行以下命令以生成证书签名请求(server.csr.pem):

$ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem

确保为 -key 选项包括您在 第 15.4 节 “创建 SSL/TLS 密钥” 中创建的 SSL/TLS 密钥。

使用 server.csr.pem 文件在下一节中创建 SSL/TLS 证书。