3.2. 证书颁发机构要求和建议

您必须获得由广泛认可的证书颁发机构(CA)签名的证书，才能公开可用的 Red Hat OpenStack Platform Dashboards 或公开可访问的 API。

您必须为每个使用 TLS 保护的端点提供 DNS 域或子域。您提供的域用于创建 CA 发布的证书。客户使用 DNS 名称访问仪表板或 API，以便 CA 能够验证端点。

红帽建议使用单独的和内部管理的 CA 来保护内部流量。这使得云部署人员能够控制其私钥基础架构(PKI)实施，并使内部系统请求、签名和部署证书变得更加容易。

您可以在 overcloud 端点上启用 SSL/TLS。由于每天配置 TLS 所需的证书数量(TLS-e)，director 与 Red Hat Identity Management (IdM)服务器集成，以充当证书颁发机构并管理 overcloud 证书。有关配置 TLS-e 的更多信息，请参阅使用 Ansible 实施 TLS-e。

要在 OpenStack 组件中检查 TLS 支持的状态，请参阅 TLS 启用状态列表。

如果要使用具有您自己的证书颁发机构的 SSL 证书，请参阅在 overcloud 公共端点中启用 SSL/TLS。