本系列文章演示如何搭建一个mini的云平台和DevOps实践环境。 基于这套实践环境,可以部署微服务架构的应用栈,演练提升DevOps实践能力。
$ vi /etc/pki/tls/openssl.cnf
[ policy_match ]
# 除了country name,其它都改成optional
[ req_distinguished_name ]
# CommonName设置为IROOTECH CA,这个会显示为证书的【颁发者】和【颁发给】的属性值
创建到CentOS系统默认的CA私钥文件位置:
$ cd /etc/pki/CA/
$ openssl genrsa -out private/cakey.pem 2048
创建到CentOS系统默认的CA证书文件位置:
$ openssl req -new -x509 -key private/cakey.pem -out cacert.pem
如果步骤2.1设置好了默认值,一路回车即可完成。
创建到自定义文件夹:
$ mkdir /home/tls/
$ openssl genrsa -out server.key 2048
创建到自定义文件夹:
$ mkdir /home/tls/
$ openssl req -new -key server.key -out server.csr
commonName(CN)设置为UCP(DTR)所在主机名或FQDN。也可以设置为一个泛域名(*.yourcompany.com),其它都使用默认值。
一般情况下,服务器证书和CA证书不在同一个服务器上,所以需要将3.2节生成的服务器证书签名请求发送到CA证书所在服务器上。
创建到自定义文件夹:
$ mkdir /home/tls/
$ openssl ca -in server.csr -out server.pem
注意:生成服务器证书过程默认使用了-cert cacert.pem -keyfile cakey.pem
,这两个文件就是2.2和2.3两步生成的,位于/etc/pki/CA
下的CA密钥和CA证书。
现在我们已经生成了必须的几个文件:
在UCP Web UI中, 导航到管理员设置
页面,在左侧菜单中,单击证书
依次上传:
cacert.pem
;server.pem
;server.key
。点击保存
在DTR Web UI中,导航到系统
页面, 在右侧页面中,点击常规
,定位到域和代理
,点击显示TLS设置
依次上传:
cacert.pem
;server.pem
;server.key
。点击保存
如果希望自己本地浏览器访问UCP Web UI时不显示安全证书警告,需要如下操作:
Docker Data Center系列(一) - 快速搭建云原生架构的实践环境
Docker Data Center系列(二)- UCP安装指南
Docker Data Center系列(三)- DTR安装指南
Docker Data Center系列(四)- 离线安装UCP和DTR
Docker Data Center系列(五)- 使用自定义的TLS安全认证