14.6. 创建 SSL/TLS 证书
要为 OpenStack 环境生成 SSL/TLS 证书,必须存在以下文件:
openssl.cnf- 指定 v3 扩展的自定义配置文件。
server.csr.pem- 生成证书并使用 CA 对证书进行签名的证书签名请求。
ca.crt.pem- 对证书进行签名的证书颁发机构。
ca.key.pem- 证书颁发机构私钥。
步骤
运行以下命令,为 undercloud 或 overcloud 创建证书:
$ sudo openssl ca -config openssl.cnf -extensions v3_req -days 3650 -in server.csr.pem -out server.crt.pem -cert ca.crt.pem -keyfile ca.key.pem
这个命令使用以下选项:
-config-
使用一个自定义配置文件,它是带有 v3 扩展的
openssl.cnf文件。 -extensions v3_req- 已启用的 v3 扩展。
-days- 定义证书到期前的天数。
-in'- 证书签名请求。
-out- 生成的签名证书。
-cert- 证书颁发机构文件。
-keyfile- 证书颁发机构私钥。
此命令创建名为 server.crt.pem 的新证书。将此证书与 OpenStack SSL/TLS 密钥一起使用
