9.4. 启用服务帐户身份验证 服务帐户使用由 RSA 私钥签名的令牌向 API 进行身份验证。身份验证层使用匹配的公共 RSA 密钥验证签名。 要启用服务帐户令牌生成,更新 master 上的 /etc/origin/master/master-config.yml 文件中的 serviceAccountConfig 小节,以指定 privateKeyFile (用于签名)以及 publicKeyFiles 列表中匹配的公钥文件: serviceAccountConfig: ... masterCA: ca.crt 1 privateKeyFile: serviceaccount.private.key 2 publicKeyFiles: - serviceaccount.public.key 3 - ...1 用于验证 API 服务器的服务证书的 CA 文件。 2 私有 RSA 密钥文件(用于令牌签名)。 3 公共 RSA 密钥文件(用于令牌验证)。如果提供了私钥文件,则使用公钥组件。可以指定多个公钥文件,如果令牌可以由其中一个公钥验证,则可以接受该令牌。这允许轮转签名密钥,同时仍然接受上一签名人生成的令牌。 前一个下一个