3.3. 인증 기관

많은 조직에는 자체 CA(인증 기관), 인증 정책 및 내부 OpenStack 사용자 또는 서비스에 대한 인증서를 발급하는 데 사용해야 하는 관리 기능이 있는 기존의 공용 키 인프라가 있습니다. 공용 보안 영역이 인터넷에 연결되어 있는 조직은 널리 인정되는 공용 CA에서 서명한 인증서가 추가로 필요합니다. 관리 네트워크를 통한 암호화 통신의 경우 공용 CA를 사용하지 않는 것이 좋습니다. 대신 대부분의 배포에서 고유한 내부 CA를 배포하는 것이 좋습니다.

OpenStack 클라우드 아키텍트는 내부 시스템 및 고객이 직면하는 서비스를 위해 별도의 PKI 배포를 사용하는 것이 좋습니다. 이를 통해 클라우드 배포자는 PKI 인프라를 지속적으로 제어하고 내부 시스템을 위한 인증서를 요청, 서명 및 배포할 수 있습니다. 고급 구성은 다양한 보안 영역에 별도의 PKI 배포를 사용할 수 있습니다. 이를 통해 OpenStack 운영자는 환경의 암호화 분리를 유지하여 발급된 인증서를 다른 회사에서 인식하지 못하도록 할 수 있습니다.

인터넷을 향한 클라우드 엔드 포인트 (또는 고객이 표준 운영 체제 제공 인증서 번들 이외의 모든 것을 설치할 것으로 예상되는 고객 인터페이스)에서 TLS를 지원하는 데 사용되는 인증서는 운영 체제 인증서 번들에 설치된 인증 기관을 사용하여 프로비저닝해야 합니다.