15.5. SSL/TLS 証明書署名要求の作成
証明書署名要求を作成するには、以下の手順を実施します。
手順
デフォルトの OpenSSL 設定ファイルをコピーします。
$ cp /etc/pki/tls/openssl.cnf .
新しい
openssl.cnf
ファイルを編集して、director に使用する SSL パラメーターを設定します。変更するパラメーターの種別には以下のような例が含まれます。[req] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] countryName = Country Name (2 letter code) countryName_default = AU stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Queensland localityName = Locality Name (eg, city) localityName_default = Brisbane organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = Red Hat commonName = Common Name commonName_default = 192.168.0.1 commonName_max = 64 [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] IP.1 = 192.168.0.1 DNS.1 = instack.localdomain DNS.2 = vip.localdomain DNS.3 = 192.168.0.1
commonName_default
を、以下のエントリーのいずれかに設定します。-
IP アドレスを使用して SSL/TLS 経由で director にアクセスする場合には、
undercloud.conf
のundercloud_public_host
パラメーターを使用します。 完全修飾ドメイン名を使用して SSL/TLS 経由で director にアクセスする場合には、ドメイン名を使用します。
v3_req
セクションにsubjectAltName = @alt_names
を追加します。alt_names
セクションを編集して、以下のエントリーを追加します。-
IP
: SSL 経由で director にアクセスするためにクライアントが使用する IP アドレス一覧。 -
DNS
: SSL 経由で director にアクセスするためにクライアントが使用するドメイン名一覧。alt_names
セクションの最後に DNS エントリーとしてパブリック API の IP アドレスも追加します。
注記openssl.cnf
に関する詳しい情報については、man openssl.cnf
コマンドを実行してください。-
IP アドレスを使用して SSL/TLS 経由で director にアクセスする場合には、
以下のコマンドを実行し、証明書署名要求 (
server.csr.pem
) を生成します。$ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem
-key
オプションを使用して、OpenStack SSL/TLS 鍵を指定するようにしてください。
このコマンドにより、証明書署名要求として server.csr.pem
ファイルが生成されます。このファイルを使用して OpenStack SSL/TLS 証明書を作成します。