7.2. 注入 root 证书
如果证书签名者不在 overcloud 镜像上的默认信任存储中,您必须将证书颁发机构注入 overcloud 镜像中。
流程
从 heat 模板集合中复制
inject-trust-anchor-hiera.yaml
环境文件:$ cp -r /usr/share/openstack-tripleo-heat-templates/environments/ssl/inject-trust-anchor-hiera.yaml ~/templates/.
编辑此文件并为这些参数进行以下更改:
- CAMap
列出要注入到 overcloud 的每个证书颁发机构内容(CA)。overcloud 要求用于为 undercloud 和 overcloud 为证书签名 CA 文件。将 root 证书颁发机构文件(
ca.crt.pem
)的内容复制到条目中。例如,您的CAMap
参数可能类似如下:parameter_defaults: CAMap: ... undercloud-ca: content: | -----BEGIN CERTIFICATE----- MIIDlTCCAn2gAwIBAgIJAOnPtx2hHEhrMA0GCS BAYTAlVTMQswCQYDVQQIDAJOQzEQMA4GA1UEBw UmVkIEhhdDELMAkGA1UECwwCUUUxFDASBgNVBA -----END CERTIFICATE----- overcloud-ca: content: | -----BEGIN CERTIFICATE----- MIIDBzCCAe+gAwIBAgIJAIc75A7FD++DMA0GCS BAMMD3d3dy5leGFtcGxlLmNvbTAeFw0xOTAxMz Um54yGCARyp3LpkxvyfMXX1DokpS1uKi7s6CkF -----END CERTIFICATE-----
重要证书颁发机构内容为所有新行需要相同的缩进级别。
您还可以使用 CAMap
参数注入其他 CA。