14.6. 创建 SSL/TLS 证书
要为 OpenStack 环境生成 SSL/TLS 证书,必须存在以下文件:
openssl.cnf
- 指定 v3 扩展的自定义配置文件。
server.csr.pem
- 生成证书并使用 CA 对证书进行签名的证书签名请求。
ca.crt.pem
- 对证书进行签名的证书颁发机构。
ca.key.pem
- 证书颁发机构私钥。
流程
如果尚未存在,请创建
newcerts
目录:sudo mkdir -p /etc/pki/CA/newcerts
运行以下命令,为 undercloud 或 overcloud 创建证书:
$ sudo openssl ca -config openssl.cnf -extensions v3_req -days 3650 -in server.csr.pem -out server.crt.pem -cert ca.crt.pem -keyfile ca.key.pem
这个命令使用以下选项:
-config
-
使用一个自定义配置文件,它是带有 v3 扩展的
openssl.cnf
文件。 -extensions v3_req
- 已启用的 v3 扩展。
-days
- 定义证书到期前的天数。
-in
'- 证书签名请求。
-out
- 生成的签名证书。
-cert
- 证书颁发机构文件。
-keyfile
- 证书颁发机构私钥。
此命令创建名为 server.crt.pem
的新证书。将此证书与 OpenStack SSL/TLS 密钥一起使用