5.5. 复制 undercloud 证书颁发机构

如果 undercloud 使用 SSL/TLS 进行端点加密,则 minion 主机必须包含签发 undercloud SSL/TLS 证书的证书颁发机构。根据 undercloud 配置,这个证书颁发机构是以下其中之一:

  • 在 minion 主机上预载入证书的外部证书颁发机构。不需要操作。
  • director 生成的自签名证书颁发机构(/etc/pki/ca-trust/source/anchors/cm-local-ca.pem )。将这个文件复制到 minion 主机,并将该文件作为 minion 主机的可信证书颁发机构的一部分。这个过程使用这个文件作为示例。
  • 使用 OpenSSL 创建的自定义自签名证书颁发机构。本文档中的示例将该文件称为 ca.crt.pem。将这个文件复制到 minion 主机,并将该文件作为 minion 主机的可信证书颁发机构的一部分。

步骤

  1. root 用户身份登录到 minion 主机。
  2. 将证书颁发机构文件从 undercloud 复制到 minion:

    [root@minion ~]# scp \
        root@<undercloud-host>:/etc/pki/ca-trust/source/anchors/cm-local-ca.pem \
        /etc/pki/ca-trust/source/anchors/undercloud-ca.pem

    <undercloud-host> 替换为 undercloud 的主机名或 IP 地址。

  3. 为 minion 主机更新可信证书颁发机构:

    [root@minion ~]# update-ca-trust enable
    [root@minion ~]# update-ca-trust extract