7.2. 配置 Grafana 证书
cephadm 使用 ceph 键/值存储中定义的证书部署 Grafana。如果没有指定证书,cephadm 会在部署 Grafana 服务过程中生成一个自签名证书。
您可以使用 ceph config-key set 命令配置自定义证书。
前提条件
- 一个正在运行的 Red Hat Ceph Storage 集群。
流程
登录
cephadmshell:示例
[root@host01 ~]# cephadm shell
为 Grafana 配置自定义证书:
示例
[ceph: root@host01 /]# ceph config-key set mgr/cephadm/grafana_key -i $PWD/key.pem [ceph: root@host01 /]# ceph config-key set mgr/cephadm/grafana_crt -i $PWD/certificate.pem
如果已经部署了 Grafana,则运行
reconfig以更新配置:示例
[ceph: root@host01 /]# ceph orch reconfig grafana
每次添加新证书时,请按照以下步骤操作:
创建新目录
示例
[root@host01 ~]# mkdir /root/internalca [root@host01 ~]# cd /root/internalca
生成密钥:
示例
[root@host01 internalca]# openssl ecparam -genkey -name secp384r1 -out $(date +%F).key
查看密钥:
示例
[root@host01 internalca]# openssl ec -text -in $(date +%F).key | less
发出请求:
示例
[root@host01 internalca]# umask 077; openssl req -config openssl-san.cnf -new -sha256 -key $(date +%F).key -out $(date +%F).csr
在发送签名前查看请求:
示例
[root@host01 internalca]# openssl req -text -in $(date +%F).csr | less
作为 CA 签名:
示例
[root@host01 internalca]# openssl ca -extensions v3_req -in $(date +%F).csr -out $(date +%F).crt -extfile openssl-san.cnf
检查签名的证书:
示例
[root@host01 internalca]# openssl x509 -text -in $(date +%F).crt -noout | less
其它资源
- 如需了解更多详细信息,请参阅使用共享系统证书。
