第 9 章 在 Overcloud 中启用 SSL/TLS


默认情况下,overcloud 使用未加密的端点作为其服务。这意味着 overcloud 配置需要额外的环境文件,才能为其公共 API 端点启用 SSL/TLS。下面的章节演示了如何配置 SSL/TLS 证书,并将其作为 overcloud 创建的一部分包含在内。

注意

这个过程只为公共 API 端点启用 SSL/TLS。Internal 和 Admin API 会保持未加密的状态。

此过程需要网络隔离来定义公共 API 的端点。有关网络隔离的说明,请参阅 第 7 章 隔离网络

9.1. 初始化签名主机

签名主机是生成新证书并使用证书颁发机构签名的主机。如果您从未在所选签名主机上创建 SSL 证书,您可能需要初始化该主机,让它能够为新证书签名。

/etc/pki/CA/index.txt 文件存储所有签名证书的记录。检查是否存在此文件。如果不存在,请创建一个空文件:

$ sudo touch /etc/pki/CA/index.txt

/etc/pki/CA/serial 文件标识下一个序列号,以用于下一个要签名的证书。检查是否存在此文件。如果不存在,请使用新起始值创建新文件:

$ echo '1000' | sudo tee /etc/pki/CA/serial
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.