默笙♥ 2019-05-03 08:35 采纳率: 0%

Openstack完成Keystone证书加密的HTTPS服务提升？

Openstack完成Keystone证书加密的HTTPS服务提升？
在网上找到相关问题，但是尝试了一直没解决，求大神们帮忙

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

「已注销」 2019-05-21 18:17

关注

keystone ssl

1、安装 mod_ssl 模块

yum install -y mod_ssl

2、使用 keystone-manage ssl_setup 生成证书

keystone-manage ssl_setup直接生成证书域名默认为localhost

3、生成证书(使用keystone内置命令生成的证书也是调用了openssl命令生成证书)

[root@controller ~]# keystone-manage ssl_setup --keystone-user keystone --keystone-group keystone

(keystone日志如下 commonName 为 localhost)

[root@controller ~]# tailf /var/log/keystone/keystone.log
2014-01-02 00:12:50.593 22821 INFO keystone.common.openssl [-] Running command - openssl genrsa -out /etc/keystone/ssl/private/cakey.pem 1024
2014-01-02 00:12:50.631 22821 INFO keystone.common.openssl [-] Running command - openssl req -new -x509 -extensions v3_ca -key /etc/keystone/ssl/private/cakey.pem - out /etc/keystone/ssl/certs/ca.pem -days 3650 -config /etc/keystone/ssl/certs/openssl.conf -subj /C=US/ST=Unset/L=Unset/O=Unset/CN=localhost
2014-01-02 00:12:50.643 22821 INFO keystone.common.openssl [-] Running command - openssl genrsa -out /etc/keystone/ssl/private/keystonekey.pem 1024
2014-01-02 00:12:50.667 22821 INFO keystone.common.openssl [-] Running command - openssl req -key /etc/keystone/ssl/private/keystonekey.pem -new -out /etc/keystone/ssl/certs/req.pem -config /etc/keystone/ssl/certs/openssl.conf -subj /C=US/ST=Unset/L=Unset/O=Unset/CN=localhost
2014-01-02 00:12:50.676 22821 INFO keystone.common.openssl [-] Running command - openssl ca -batch -out /etc/keystone/ssl/certs/keystone.pem -config /etc/keystone/ssl/certs/openssl.conf -days 3650d -cert /etc/keystone/ssl/certs/ca.pem - keyfile /etc/keystone/ssl/private/cakey.pem -infiles /etc/keystone/ssl/certs/req.pem

(若要修改域名为controller需要更新证书,修改信息可以在/etc/keystone/ssl/certs/index.txt查看)

openssl req -new -x509 -extensions v3_ca -key /etc/keystone/ssl/private/cakey.pem - out /etc/keystone/ssl/certs/ca.pem -days 3650 -config /etc/keystone/ssl/certs/openssl.conf -subj /C=US/ST=Unset/L=Unset/O=Unset/CN=controller
openssl req -key /etc/keystone/ssl/private/keystonekey.pem -new -out /etc/keystone/ssl/certs/req.pem -config /etc/keystone/ssl/certs/openssl.conf -subj /C=US/ST=Unset/L=Unset/O=Unset/CN=controller
openssl ca -batch -out /etc/keystone/ssl/certs/keystone.pem -config /etc/keystone/ssl/certs/openssl.conf -days 3650d -cert /etc/keystone/ssl/certs/ca.pem - keyfile /etc/keystone/ssl/private/cakey.pem -infiles /etc/keystone/ssl/certs/req.pem

4、修改所属组、主

chown -R keystone:keystone /etc/keystone/ssl/

5、配置 keystone

shell openstack-config --set /etc/keystone/keystone.conf eventlet_server_ssl enable True openstack-config --set /etc/keystone/keystone.conf eventlet_server_ssl certfile /etc/keystone/ssl/certs/keystone.pem openstack-config --set /etc/keystone/keystone.conf eventlet_server_ssl keyfile /etc/keystone/ssl/private/keystonekey.pem openstack-config --set /etc/keystone/keystone.conf eventlet_server_ssl ca_certs /etc/keystone/ssl/certs/ca.pem

6、修改 wsgi

[root@controller ~]# vim /etc/httpd/conf.d/wsgi-keystone.conf
......
<VirtualHost *:5000>
......
SSLEngine on
SSLCertificateFile /etc/keystone/ssl/certs/keystone.pem 
SSLCertificateKeyFile /etc/keystone/ssl/private/keystonekey.pem 
SSLCACertificateFile /etc/keystone/ssl/certs/ca.pem 
SSLUserName SSL_CLIENT_S_DN_CN
SSLVerifyClient none
SSLVerifyDepth 10
...... </VirtualHost> ......

7、删除原http端点并创建https端点（域名要和countryName 相同）

export OS_URL=http://controller:35357/v3
export OS_IDENTITY_API_VERSION=3
export OS_TOKEN=690724e95b2f8061f6d8
openstack service delete keystone
openstack service create --name keystone --description "OpenStack Identity" identity
openstack endpoint create --region RegionOne identity public https://localhost:5000/v3
openstack endpoint create --region RegionOne identity internal https://localhost:5000/v3
openstack endpoint create --region RegionOne identity admin https://localhost:35357/v3

8、配置环境变量

 [root@controller ~]# cat > /etc/keystone/admin-openrc.sh <<EOF
 export OS_PROJECT_DOMAIN_NAME=demo
 export OS_USER_DOMAIN_NAME=demo
 export OS_PROJECT_NAME=admin
 export OS_USERNAME=admin
 export OS_PASSWORD=000000
 export OS_AUTH_URL=https://localhost:35357/v3
 export OS_IDENTITY_API_VERSION=3
 export OS_IMAGE_API_VERSION=2
 export OS_CACERT=/etc/keystone/ssl/certs/ca.pem
 EOF

9、重启 httpd 服务

systemctl restart httpd memcached

10、测试

 [root@controller ~]# source /etc/keystone/admin-openrc.sh
 [root@controller ~]# openstack endpoint list --service keystone
 +----------------------------------+-----------+--------------+------------

 | 52e1e41c4f774dd1b9dfe9e87d11868a | RegionOne | keystone | identity | True
 | admin | https://localhost:35357/v3 |
 | 70a0f69a57784d708f69c0d466da0899 | RegionOne | keystone | identity | True
 | internal | https://localhost:5000/v3 |
 | af90d9434d4e453c8e771aa7908505c7 | RegionOne | keystone | identity | True
 | public | https://localhost:5000/v3 |
 +----------------------------------+-----------+--------------+------------

其他更详细信息联系我

官网

https://docs.openstack.org/mitaka/admin-guide/keystone_certificates_for_pki.html

报告相同问题？

关注问题

OpenStack认证服务（Keystone）详细解读
2024-09-05 18:57

D3Zane的博客 OpenStack云计算平台的组件有很多，该先安装哪个组件呢？为什么要先安装它？Keystone在OpenStack云计算平台中就负责各个组件的认证工作。
OpenStack之keystone(用户认证)
2024-03-09 20:01

z_bigdata_a_i的博客 1)管理用户及其权限2)维护OpenStack Services 的 Endpoint3)Authentication（认证）和 Authorization（授权）keystone的名词概念。
OpenStack3部署keystone组件
2023-12-07 21:55

顾名思熠的博客此文续接上一篇，openstack2节点通用组件安装，继续部署openstack，本节开始部署keystone组件Keystone组件是一个身份认证服务，用于管理和验证用户、服务和端点的身份信息。它提供了认证、授权等功能，确保用户和...
OpenStack项目二--认证服务安装（keystone）
2024-07-27 10:36

王-230113的博客 OpenStack项目--认证服务安装（keystone）
OpenStack组件：认证服务（Keystone）安装
2025-04-17 17:40

小张童鞋。的博客以下配置都在控制节点配置：（实验前先快照，以防出错）紧接上篇文章开始：OpenStack云计算平台基础环境准备-CSDN博客 1、安装配置Keystone 1.1、安装软件包 [root@controller ~]# yum -y install openstack-...
Openstack10--认证服务（Keystone）安装
2024-11-09 22:34

xserver2的博客其中“openstack-keystone”是Keystone的软件包；“httpd”是阿帕奇（Apache）Web服务器的软件包名；“mod_wsgi”是使Web服务器支持WSGI的插件。
云计算Openstack Keystone
2024-09-29 18:43

王小工的博客 OpenStack Keystone是OpenStack平台中的一个核心组件，主要负责身份认证和授权管理服务。
学会OpenStack之Keystone服务一篇就够了！！！
2020-12-17 20:08

下一个艺术家的博客 Keystone (OpenStack Identity Service)是OpenStack中的一个独立的提供安全认证的模块，主要负责openstack用户的身份认证、令牌管理、提供访问资源的服务目录、以及基于用户角色的访问控制。 Keystone类似一个服务...
《OpenStack云计算基础架构平台应用》试卷试题及答案.docx
2022-06-08 13:09

- **Keystone认证服务**: Keystone作为OpenStack的身份认证服务，负责用户身份验证、服务注册和令牌管理等功能。每个项目可以有多个用户，而用户可以属于多个项目。全局角色适用于所有项目，而项目内的角色则仅限于...
OpenStack 云计算平台搭建与管理：计算、存储与网络服务配置
2025-05-06 18:43

数字魔方操控师的博客 OpenStack 最初由 Rackspace 和 NASA 于 2010 年发起，经过多年的发展，已经成为全球范围内广泛使用的开源云计算平台。它采用模块化架构设计，由多个相互独立又协同工作的服务组件构成，每个组件负责特定的功能，如...
没有解决我的问题, 去提问

码龄粉丝数原力等级 --

Openstack完成Keystone证书加密的HTTPS服务提升？

1条回答默认最新

码龄粉丝数原力等级 --

keystone ssl

1、安装 mod_ssl 模块

2、使用 keystone-manage ssl_setup 生成证书

3、生成证书(使用keystone内置命令生成的证书也是调用了openssl命令生成证书)

(keystone日志如下 commonName 为 localhost)

(若要修改域名为controller需要更新证书,修改信息可以在/etc/keystone/ssl/certs/index.txt查看)

4、修改所属组、主

5、配置 keystone

6、修改 wsgi

7、删除原http端点并创建https端点（域名要和countryName 相同）

8、配置环境变量

9、重启 httpd 服务

10、测试

其他更详细信息联系我

官网

Openstack完成Keystone证书加密的HTTPS服务提升？

1条回答 默认 最新

keystone ssl

1、安装 mod_ssl 模块

2、使用 keystone-manage ssl_setup 生成证书

3、生成证书(使用keystone内置命令生成的证书也是调用了openssl命令生成证书)

(keystone日志如下 commonName 为 localhost)

(若要修改域名为controller需要更新证书,修改信息可以在/etc/keystone/ssl/certs/index.txt查看)

4、修改所属组、主

5、配置 keystone

6、修改 wsgi

7、删除原http端点并创建https端点（域名要和countryName 相同）

8、配置环境变量

9、重启 httpd 服务

10、测试

其他更详细信息联系我

官网

1条回答默认最新