Openstack Keystone PKI使用两个证书,如本文档所述: https://www.mirantis.com/blog/understanding-openstack-authentication-keystone-pki/
CA证书和签名证书。
到目前为止我的理解:签名密钥用于签署用户令牌,而签名证书包含相应的公钥,并将与解密用户令牌时使用的服务端点共享。
这是对的吗?如果是这样,CA证书和CA密钥的目的是什么?
答案 0 :(得分:1)
我建议http://docs.openstack.org/admin-guide-cloud/content/certificates-for-pki.html
上的OpenStack文档PKI代表公钥基础设施。令牌是使用X509标准加密签名的文档。为了正确工作,令牌生成需要公钥/私钥对。公钥必须在X509证书中签名,用于签名的证书必须作为证书颁发机构(CA)证书提供。
令牌已签名并经过验证。没有解密。
使用的证书和证书颁发机构可以是内部或外部的,云提供商选择如何配置它取决于它们。
答案 1 :(得分:1)
在PKI环境中,证书(签名证书)由CA签署。 CA通常是外部实体,但如果您使用keystone-manage pki_setup生成签名密钥,则首先在本地设置CA并签署keystone使用的证书。
CA密钥用于CA,keystone没有任何使用它。
Keystone只需要自己的私钥,签名证书和CA证书。
希望这很有用。
-Thanks