Atom feed of this document
  

 配置基于SSL的身份服务

你可以配置身份服务来支持两种方式的SSL。

你必须遵守x509证书扩展并且配置它们。

身份服务在目录 examples/pki/certsexamples/pki/private 提供了一组证书的实例:

证书类型

cacert.pem

证书颁发机构链来验证。

ssl_cert.pem

身份服务器的公有证书。

middleware.pem

身份服务中间件/客户端端公有证书和私有证书。

cakey.pem

CA的私有证书。

ssl_key.pem

身份服务器的私钥。

[注意]注意

你可以为这些证书选择名称,如果你愿意的话,也可以讲公钥和私钥混在同一个文件中。这些证书都提供一个例子。

 基于keystone-all的客户端认证

当运行keystone-all时,使用下面说明可将服务器配置为启用SSL的客户端认证。在文件etc/keystone.conf中修改 [eventlet_server_ssl] 一节。下面的SSL配置例子使用了所包含的实例证书:

[eventlet_server_ssl]
enable = True
certfile = <path to keystone.pem>
keyfile = <path to keystonekey.pem>
ca_certs = <path to ca.pem>
cert_required = True

属性

  • enable。为True时表示启用SSL。默认是False。

  • certfile。到身份服务公共证书文件的路径。

  • keyfile。到身份服务私钥文件的路径。如果你在certfile中包含了私钥,你可以忽略此项配置。

  • ca_certs。到CA信任链的路径。

  • cert_required。需要客户端证书。默认为False。

当运行身份服务作为一个WSGI服务在诸如Apache httpd的web服务器时,web服务器中会替代此配置。在这种情况下,[eventlet_server_ssl]一节的属性会被忽略。

Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...