5.2. 证书颁发机构要求和建议

您必须获得由广泛认可的证书认证机构(CA)签名的证书，以便公开可用的 Red Hat OpenStack Platform Dashboards 或公开可访问的 API。

您必须为每个使用 TLS 保护的端点提供 DNS 域或子域。您提供的域用于创建 CA 发布的证书。客户使用 DNS 名称访问仪表板或 API，以便 CA 可以验证端点。

红帽建议使用单独的和内部管理的 CA 来保护内部流量。这使得云部署器能够保持对其私钥基础架构(PKI)实施的控制，并方便请求、签名和部署内部系统证书。

您可以在 overcloud 端点上启用 SSL/TLS。由于在任何位置配置 TLS (TLS-e)所需的证书数量，director 可与红帽身份管理(IdM)服务器集成，以充当证书颁发机构并管理 overcloud 证书。有关配置 TLS-e 的更多信息，请参阅使用 Ansible 实施 TLS-e。

要检查 OpenStack 组件中的 TLS 支持状态，请参阅 TLS 启用状态列表。

如果要将 SSL 证书与您自己的证书颁发机构搭配使用，请参阅在 overcloud 公共端点 上启用 SSL/TLS。