5.2. 证书颁发机构要求和建议

您必须获取由广泛认可的证书颁发机构(CA)签名的证书，以便公开可用的 Red Hat OpenStack Platform Dashboards 或公开访问的 API。

您必须为您使用 TLS 保护的每个端点提供一个 DNS 域或子域。您提供的域用于创建 CA 发布的证书。客户使用 DNS 名称访问仪表板或 API，以便 CA 可以验证端点。

红帽建议使用单独的和内部管理的 CA 来保护内部流量。这使得云部署器能够保持对其私钥基础架构(PKI)实施的控制，并使请求、签名和部署内部系统的证书变得更加简单。

您可以在 overcloud 端点上启用 SSL/TLS。由于在无处配置 TLS (TLS-e)所需的证书数量，director 与 Red Hat Identity Management (IdM)服务器集成以充当证书颁发机构并管理 overcloud 证书。有关配置 TLS-e 的更多信息，请参阅使用 Ansible 实施 TLS-e。

要检查 OpenStack 组件之间的 TLS 支持状态，请参阅 TLS 启用状态列表。

如果要将 SSL 证书与您自己的证书颁发机构一起使用，请参阅在 overcloud 公共端点中启用 SSL/TLS。