14.5. SSL/TLS 인증서 서명 요청 생성

절차

1. 기본 OpenSSL 설정 파일을 복사합니다.

   $ cp /etc/pki/tls/openssl.cnf .

   Copy to Clipboard Toggle word wrap

2. 새 openssl.cnf 파일을 편집하고 director에 사용할 SSL 매개변수를 설정합니다. 수정할 매개변수 유형의 예제는 다음과 같습니다.

   [req]
   distinguished_name = req_distinguished_name
   req_extensions = v3_req
   
   [req_distinguished_name]
   countryName = Country Name (2 letter code)
   countryName_default = AU
   stateOrProvinceName = State or Province Name (full name)
   stateOrProvinceName_default = Queensland
   localityName = Locality Name (eg, city)
   localityName_default = Brisbane
   organizationalUnitName = Organizational Unit Name (eg, section)
   organizationalUnitName_default = Red Hat
   commonName = Common Name
   commonName_default = 192.168.0.1
   commonName_max = 64
   
   [ v3_req ]
   # Extensions to add to a certificate request
   basicConstraints = CA:FALSE
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   subjectAltName = @alt_names
   
   [alt_names]
   IP.1 = 192.168.0.1
   DNS.1 = instack.localdomain
   DNS.2 = vip.localdomain
   DNS.3 = 192.168.0.1

   Copy to Clipboard Toggle word wrap

   commonName_default를 다음 항목 중 하나로 설정합니다.

   • IP 주소를 사용하여 SSL/TLS를 통해 director에 액세스하는 경우 undercloud.conf 파일의 undercloud_public_host 매개변수를 사용합니다.
   • 정규화된 도메인 이름을 사용하여 SSL/TLS을 통해 director에 액세스하는 경우 도메인 이름을 사용합니다.

   alt_names 섹션을 편집하여 다음 항목을 포함합니다.

   • IP - 클라이언트가 SSL을 통해 director에 액세스하는 데 사용하는 IP 주소 목록입니다.
   • DNS - 클라이언트가 SSL을 통해 director에 액세스하는 데 사용하는 도메인 이름 목록입니다. 또한 공용 API IP 주소를 alt_names 섹션 끝에 DNS 항목으로 추가합니다.
   참고

   openssl.cnf에 대한 자세한 내용을 보려면 man openssl.cnf 명령을 실행합니다.

3. 다음 명령을 실행하여 인증서 서명 요청(server.csr.pem)을 생성합니다.

   $ openssl req -config openssl.cnf -key server.key.pem -new -out server.csr.pem

   Copy to Clipboard Toggle word wrap

   -key 옵션을 사용하여 OpenStack SSL/TLS 키를 지정합니다.