第 15 章 在 Overcloud 公共端点中启用 SSL/TLS
默认情况下,overcloud 将未加密的端点用于其服务。这意味着 overcloud 配置需要额外的环境文件来为其公共 API 端点启用 SSL/TLS。下面的章节演示了如何配置 SSL/TLS 证书,并将它作为 overcloud 创建的一部分包含在内。
注意
这个过程只支持公共 API 端点启用 SSL/TLS。内部和 Admin API 仍未加密。
此过程需要网络隔离来定义公共 API 的端点。
15.1. 初始化签名主机
签名主机是生成新证书的主机,并使用证书颁发机构进行签名。如果您从未在所选签名主机上创建 SSL 证书,您可能需要初始化该主机,让它能够为新证书签名。
/etc/pki/CA/index.txt 文件存储所有签名证书的记录。检查是否存在此文件。如果不存在,请创建一个空文件:
$ sudo touch /etc/pki/CA/index.txt
/etc/pki/CA/serial 文件标识下一个序列号,以用于下一个要签名的证书。检查是否存在此文件。如果不存在,则使用新启动值创建新文件:
$ echo '1000' | sudo tee /etc/pki/CA/serial
