5.2. 证书颁发机构要求和建议
您必须获得由广泛认可的证书认证机构(CA)签名的证书,以便公开可用的 Red Hat OpenStack Platform Dashboards 或公开可访问的 API。
您必须为每个使用 TLS 保护的端点提供 DNS 域或子域。您提供的域用于创建 CA 发布的证书。客户使用 DNS 名称访问仪表板或 API,以便 CA 可以验证端点。
红帽建议使用单独的和内部管理的 CA 来保护内部流量。这使得云部署器能够保持对其私钥基础架构(PKI)实施的控制,并方便请求、签名和部署内部系统证书。
您可以在 overcloud 端点上启用 SSL/TLS。由于在任何位置配置 TLS (TLS-e)所需的证书数量,director 可与红帽身份管理(IdM)服务器集成,以充当证书颁发机构并管理 overcloud 证书。有关配置 TLS-e 的更多信息,请参阅使用 Ansible 实施 TLS-e。
要检查 OpenStack 组件中的 TLS 支持状态,请参阅 TLS 启用状态列表。
如果要将 SSL 证书与您自己的证书颁发机构搭配使用,请参阅在 overcloud 公共端点 上启用 SSL/TLS。
注意
这将只在公开访问的端点中使用 SSL/TLS 配置 Red Hat OpenStack Platform。