第 3 章 使用 TLS 和 PKI 保护 Red Hat OpenStack 部署
Red Hat OpenStack Platform 包括许多网络和端点,它们处理您可以保护的敏感或机密数据。使用传输层安全(TLS)时,您可以使用对称密钥加密保护流量。密钥和密码在 TLS 握手中协商,这需要通过称为证书颁发机构(CA)的中间的共享信任来验证服务器的身份。
公钥基础架构(PKI)是一种通过证书颁发机构验证实体的框架。
3.1. 公钥基础架构(PKI)的组件
PKI 的核心组件在下表中显示:
术语 | 定义 |
---|---|
结束实体 | 使用数字证书验证自身的用户、流程或系统。 |
证书颁发机构(CA) | CA 是由端点实体信任的实体,以及验证最终实体的依赖方。 |
依赖方 | 依赖方接收数字证书作为最终用户实体验证,并且能够验证数字证书。 |
数字证书 | 签名的公钥证书具有可验证实体和公钥,并由 CA 发布。当 CA 为证书签名时,它会从使用其私钥加密的证书创建一个消息摘要。您可以使用与 CA 关联的公钥验证签名。X.509 标准用于定义证书。 |
注册授权机构(RA) | RA 是一个可选专用授权,可在 CA 发布证书前执行管理功能,如验证终端实体。如果没有 RA,CA 会验证结束实体。 |
证书撤销列表(CRL) | CRL 是已撤销的证书序列号列表。在 PKI 模型中不信任提供已撤销序列号的证书的最终实体。 |
CRL 签发者 | CA 委派证书撤销列表的可选系统。 |
证书仓库 | 存储和查询最终实体证书和证书撤销列表的位置。 |