第 5 章 使用 TLS 和 PKI 保护 Red Hat OpenStack 部署


Red Hat OpenStack Platform 由多个网络和端点组成,它们处理您可以保护的敏感或机密数据。使用传输层安全(TLS)时,您可以使用对称密钥加密保护流量。密钥和密码在 TLS 握手中协商,这需要在称为证书颁发机构(CA)的中间人中通过共享的信任来验证服务器的身份。

公钥基础架构(PKI)是通过证书颁发机构验证实体的框架。

5.1. 公钥基础架构组件(PKI)

PKI 的核心组件在下表中显示:

表 5.1. 主要术语
术语定义

结束实体

通过数字证书验证其自身的用户、进程或系统。

证书颁发机构(CA)

CA 是一个受端点实体信任的实体,以及验证最终实体的依赖方。

依赖方

依赖方接收作为终端实体验证的数字证书,并具有验证数字证书的能力。

数字证书

签名的公钥证书有一个可验证的实体和公钥,并由 CA 发布。当 CA 为证书签名时,它会从使用其私钥加密的证书创建消息摘要。您可以使用与 CA 关联的公钥验证签名。X.509 标准用于定义证书。

注册机构(RA)

RA 是一个可选的专用授权,可以在 CA 发布证书之前执行管理功能,如身份验证结束实体。如果没有 RA,CA 会验证结束实体。

证书撤销列表(CRL)

CRL 是已撤销的证书序列号列表。带有撤销序列号的证书的最终实体在 PKI 模型中不被信任。

CRL 签发者

CA 将发布证书撤销列表的可选系统。

证书存储库

端点实体证书和证书撤销列表的位置会被存储和查询。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.