15.2. 使用远程基本身份验证服务器生成和共享证书
在 Ansible 主机清单文件(默认为 /etc/ansible/hosts)中列出的第一个 master 主机上完成以下步骤。
为确保远程基本身份验证服务器和 OpenShift Container Platform 间的通信需要信任,在这组其他阶段创建一组传输层安全(TLS)证书。运行以下命令:
# openshift start \ --public-master=https://openshift.example.com:8443 \ --write-config=/etc/origin/输出中包含 /etc/origin/master/ca.crt 和 /etc/origin/master/ca.key 签名证书。
使用签名证书生成要在远程基本身份验证服务器中使用的密钥:
# mkdir -p /etc/origin/remote-basic/ # oc adm ca create-server-cert \ --cert='/etc/origin/remote-basic/remote-basic.example.com.crt' \ --key='/etc/origin/remote-basic/remote-basic.example.com.key' \ --hostnames=remote-basic.example.com \ 1 --signer-cert='/etc/origin/master/ca.crt' \ --signer-key='/etc/origin/master/ca.key' \ --signer-serial='/etc/origin/master/ca.serial.txt'- 1
- 以逗号分隔的所有主机名和接口 IP 地址列表,它们需要访问远程基本身份验证服务器。
注意您生成的证书文件有效期为两年。您可以通过更改
--expire-days和--signer-expiredays值来更改这个周期,但出于安全原因,不要使它们大于 730。重要如果您没有列出需要访问远程基本身份验证服务器的所有主机名和接口 IP 地址,HTTPS 连接将失败。
将必要的证书和密钥复制到远程基本身份验证服务器:
# scp /etc/origin/master/ca.crt \ root@remote-basic.example.com:/etc/pki/CA/certs/ # scp /etc/origin/remote-basic/remote-basic.example.com.crt \ root@remote-basic.example.com:/etc/pki/tls/certs/ # scp /etc/origin/remote-basic/remote-basic.example.com.key \ root@remote-basic.example.com:/etc/pki/tls/private/
