5.5. 复制 undercloud 证书颁发机构
如果 undercloud 使用 SSL/TLS 进行端点加密,则 minion 主机必须包含签发 undercloud SSL/TLS 证书的证书颁发机构。根据 undercloud 配置,这个证书颁发机构是以下其中之一:
- 在 minion 主机上预载入证书的外部证书颁发机构。不需要操作。
-
director 生成的自签名证书颁发机构(
/etc/pki/ca-trust/source/anchors/cm-local-ca.pem
)。将这个文件复制到 minion 主机,并将该文件作为 minion 主机的可信证书颁发机构的一部分。这个过程使用这个文件作为示例。 -
使用 OpenSSL 创建的自定义自签名证书颁发机构。本文档中的示例将该文件称为
ca.crt.pem
。将这个文件复制到 minion 主机,并将该文件作为 minion 主机的可信证书颁发机构的一部分。
步骤
-
以
root
用户身份登录到 minion 主机。 将证书颁发机构文件从 undercloud 复制到 minion:
[root@minion ~]# scp \ root@<undercloud-host>:/etc/pki/ca-trust/source/anchors/cm-local-ca.pem \ /etc/pki/ca-trust/source/anchors/undercloud-ca.pem
-
将
<undercloud-host>
替换为 undercloud 的主机名或 IP 地址。
-
将
为 minion 主机更新可信证书颁发机构:
[root@minion ~]# update-ca-trust enable [root@minion ~]# update-ca-trust extract