主页
产品
Red Hat OpenStack Platform
17.1
强化 Red Hat OpenStack Platform
第 7 章在 overcloud 公共端点中启用 SSL/TLS

第 7 章在 overcloud 公共端点中启用 SSL/TLS

默认情况下，overcloud 将未加密的端点用于 overcloud 服务。要在 overcloud 中启用 SSL/TLS，红帽建议您使用证书颁发机构(CA)解决方案。

使用 CA 解决方案时，您有生产就绪的解决方案，如证书续订、证书撤销列表(CRL)和行业接受加密。有关使用 Red Hat Identity Manager (IdM)作为 CA 的详情，请参考使用 Ansible 实施 TLS-e。

您可以使用以下手动过程来为公共 API 端点启用 SSL/TLS，内部和 Admin API 仍保留未加密的。如果不使用 CA，还必须手动更新 SSL/TLS 证书。如需更多信息，请参阅手动更新 SSL/TLS 证书。

先决条件

定义公共 API 的端点的网络隔离。
openssl-perl 软件包已安装。
您有一个 SSL/TLS 证书。如需更多信息，请参阅配置自定义 SSL/TLS 证书。

7.1. 启用 SSL/TLS
复制链接

要在 overcloud 中启用 SSL/TLS，您必须创建一个环境文件，其中包含 SSL/TLS 证书和私钥的参数。

流程

从 heat 模板集合中复制 enable-tls.yaml 环境文件：

cp -r /usr/share/openstack-tripleo-heat-templates/environments/ssl/enable-tls.yaml ~/templates/.

$ cp -r /usr/share/openstack-tripleo-heat-templates/environments/ssl/enable-tls.yaml ~/templates/.

Copy to Clipboard

Toggle word wrap

编辑此文件并为这些参数进行以下更改：

SSLCertificate

将证书文件的内容(server.crt.pem)复制到 SSLCertificate 参数中：

parameter_defaults:
  SSLCertificate: |
    -----BEGIN CERTIFICATE-----
    MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGS
    ...
    sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQ
    -----END CERTIFICATE-----

parameter_defaults:
  SSLCertificate: |
    -----BEGIN CERTIFICATE-----
    MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGS
    ...
    sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQ
    -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

重要

证书内容为所有新行需要相同的缩进级别。

SSLIntermediateCertificate

如果您有中间证书，请将中间证书的内容复制到 SSLIntermediateCertificate 参数中：

parameter_defaults:
  SSLIntermediateCertificate: |
    -----BEGIN CERTIFICATE-----
    sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQbIxEpIzrgvpBCwUAMFgxCzAJB
    ...
    MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGSIb3DQE
    -----END CERTIFICATE-----

parameter_defaults:
  SSLIntermediateCertificate: |
    -----BEGIN CERTIFICATE-----
    sFW3S2roS4X0Af/kSSD8mlBBTFTCMBAj6rtLBKLaQbIxEpIzrgvpBCwUAMFgxCzAJB
    ...
    MIIDgzCCAmugAwIBAgIJAKk46qw6ncJaMA0GCSqGSIb3DQE
    -----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

重要

证书内容为所有新行需要相同的缩进级别。

SSLKey

将私钥的内容(server.key.pem)复制到 SSLKey 参数中：

parameter_defaults:
  ...
  SSLKey: |
    -----BEGIN RSA PRIVATE KEY-----
    MIIEowIBAAKCAQEAqVw8lnQ9RbeI1EdLN5PJP0lVO
    ...
    ctlKn3rAAdyumi4JDjESAXHIKFjJNOLrBmpQyES4X
    -----END RSA PRIVATE KEY-----

parameter_defaults:
  ...
  SSLKey: |
    -----BEGIN RSA PRIVATE KEY-----
    MIIEowIBAAKCAQEAqVw8lnQ9RbeI1EdLN5PJP0lVO
    ...
    ctlKn3rAAdyumi4JDjESAXHIKFjJNOLrBmpQyES4X
    -----END RSA PRIVATE KEY-----

Copy to Clipboard

Toggle word wrap

重要

私钥内容为所有新行需要相同的缩进级别。

返回顶部

第 7 章在 overcloud 公共端点中启用 SSL/TLS

7.1. 启用 SSL/TLS
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 7 章 在 overcloud 公共端点中启用 SSL/TLS

7.1. 启用 SSL/TLS复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 7 章在 overcloud 公共端点中启用 SSL/TLS

7.1. 启用 SSL/TLS
复制链接