第 9 章 在 Overcloud 中启用 SSL/TLS
默认情况下,overcloud 使用未加密的端点作为其服务。这意味着 overcloud 配置需要额外的环境文件,才能为其公共 API 端点启用 SSL/TLS。下面的章节演示了如何配置 SSL/TLS 证书,并将其作为 overcloud 创建的一部分包含在内。
注意
这个过程只为公共 API 端点启用 SSL/TLS。Internal 和 Admin API 会保持未加密的状态。
此过程需要网络隔离来定义公共 API 的端点。有关网络隔离的说明,请参阅 第 7 章 隔离网络。
9.1. 初始化签名主机
签名主机是生成新证书并使用证书颁发机构签名的主机。如果您从未在所选签名主机上创建 SSL 证书,您可能需要初始化该主机,让它能够为新证书签名。
/etc/pki/CA/index.txt
文件存储所有签名证书的记录。检查是否存在此文件。如果不存在,请创建一个空文件:
$ sudo touch /etc/pki/CA/index.txt
/etc/pki/CA/serial
文件标识下一个序列号,以用于下一个要签名的证书。检查是否存在此文件。如果不存在,请使用新起始值创建新文件:
$ echo '1000' | sudo tee /etc/pki/CA/serial