第 5 章 使用 TLS 和 PKI 保护 Red Hat OpenStack 部署
Red Hat OpenStack Platform 由多个网络和端点组成,它们处理您可以保护的敏感或机密数据。使用传输层安全(TLS)时,您可以使用对称密钥加密保护流量。密钥和密码在 TLS 握手中协商,这需要在称为证书颁发机构(CA)的中间人中通过共享的信任来验证服务器的身份。
公钥基础架构(PKI)是通过证书颁发机构验证实体的框架。
5.1. 公钥基础架构组件(PKI)
PKI 的核心组件在下表中显示:
术语 | 定义 |
---|---|
结束实体 | 通过数字证书验证其自身的用户、进程或系统。 |
证书颁发机构(CA) | CA 是一个受端点实体信任的实体,以及验证最终实体的依赖方。 |
依赖方 | 依赖方接收作为终端实体验证的数字证书,并具有验证数字证书的能力。 |
数字证书 | 签名的公钥证书有一个可验证的实体和公钥,并由 CA 发布。当 CA 为证书签名时,它会从使用其私钥加密的证书创建消息摘要。您可以使用与 CA 关联的公钥验证签名。X.509 标准用于定义证书。 |
注册机构(RA) | RA 是一个可选的专用授权,可以在 CA 发布证书之前执行管理功能,如身份验证结束实体。如果没有 RA,CA 会验证结束实体。 |
证书撤销列表(CRL) | CRL 是已撤销的证书序列号列表。带有撤销序列号的证书的最终实体在 PKI 模型中不被信任。 |
CRL 签发者 | CA 将发布证书撤销列表的可选系统。 |
证书存储库 | 端点实体证书和证书撤销列表的位置会被存储和查询。 |