14.6. SSL/TLS 証明書の作成
OpenStack 環境の SSL/TLS 証明書を生成するには、以下のファイルが必要です。
openssl.cnf
- v3 拡張機能を指定するカスタム設定ファイル
server.csr.pem
- 証明書を生成して認証局を使用して署名するための証明書署名要求
ca.crt.pem
- 証明書への署名を行う認証局
ca.key.pem
- 認証局の秘密鍵
手順
newcerts
ディレクトリーが存在しない場合は作成します。sudo mkdir -p /etc/pki/CA/newcerts
以下のコマンドを実行し、アンダークラウドまたはオーバークラウドの証明書を作成します。
$ sudo openssl ca -config openssl.cnf -extensions v3_req -days 3650 -in server.csr.pem -out server.crt.pem -cert ca.crt.pem -keyfile ca.key.pem
コマンドは、以下のオプションを使用します。
-config
-
カスタム設定ファイルを使用します (ここでは、v3 拡張機能を指定した
openssl.cnf
ファイル)。 -extensions v3_req
- v3 拡張機能を有効にします。
-days
- 証明書の有効期限が切れるまでの日数を定義します。
-in
- 証明書署名要求
-out
- 作成される署名済み証明書
-cert
- 認証局ファイル
-keyfile
- 認証局の秘密鍵
上記のコマンドにより、server.crt.pem
という名前の新規証明書が作成されます。OpenStack SSL/TLS 鍵と共にこの証明書を使用します。