3.3. 认证授权
许多组织拥有拥有自己的认证认证机构(CA)、证书策略和管理,它们用于为内部 OpenStack 用户或服务发布证书。公共安全区是面向互联网的组织还需要被广泛认可的公共 CA 签名的证书。对于管理网络的加密通信,建议不使用公共 CA。相反,建议大多数部署都部署自己的内部 CA。
注意
有效的 TLS 依赖于提供 DNS 中域或子域的部署,该部署可以由通配符使用,或者由公共或内部 CA 使用的特定证书问题。为确保 TLS 证书可以有效地验证,对平台服务的访问需要通过这些 DNS 记录。
建议 OpenStack 云架构考虑将独立的 PKI 部署用于内部系统和面向客户的服务。这允许云部署器维护对 PKI 基础架构的控制,并使内部系统请求、签名和部署证书变得更加容易。高级配置可能会将独立的 PKI 部署用于不同的安全区。这使得 OpenStack 操作器能够维护环境的加密分离,确保签发的证书不能被另一个环境识别。
用于在面向互联网的云端点(或客户不应安装标准操作系统提供证书捆绑包外)上支持 TLS 的证书应使用安装在操作系统证书捆绑包中的证书颁发机构进行置备。
注意
创建和签署证书存在管理、策略和技术挑战。除了这里推荐的指导外,云架构师或操作员可能还希望寻求行业领导和供应商的建议。
