第 20 章 配置自定义 SSL/TLS 证书
您可以手动配置 undercloud,以使用 SSL/TLS 进行公共端点的通信。当您使用 SSL/TLS 手动配置 undercloud 端点时,您要创建安全端点作为概念验证。红帽建议使用证书颁发机构解决方案。
当您使用证书颁发机构(CA)解决方案时,您有生产就绪解决方案,如证书续订、证书撤销列表(CRL)和行业可接受的加密。有关使用 Red Hat Identity Manager (IdM)作为 CA 的详情,请参考在 Ansible 实施 TLS。
如果要使用具有您自己的证书颁发机构的 SSL 证书,您必须完成以下配置步骤。
20.1. 初始化签名主机
签名主机是使用证书颁发机构生成并签名新证书的主机。如果您从未在所选签名主机上创建 SSL 证书,您可能需要初始化该主机,让它能够为新证书签名。
流程
/etc/pki/CA/index.txt
文件包含所有签名证书的记录。请确定文件系统路径和index.txt
文件已存在:$ sudo mkdir -p /etc/pki/CA $ sudo touch /etc/pki/CA/index.txt
/etc/pki/CA/serial
文件标识下一个序列号,以用于下一个要签名的证书。检查是否存在此文件。如果此文件不存在,则使用新启动值创建新文件:$ echo '1000' | sudo tee /etc/pki/CA/serial