このドキュメントで説明されているソフトウェアはサポートされていないか、拡張サポートが提供されています。
現在サポートされているリリースにアップグレードすることをお薦めします。
Ceph Object Gatewayインスタンスを構成してSSLを有効にする場合は、SSL証明書を作成する必要があります。 証明書でv3拡張機能が有効化されておらず、証明書にsubjectAltNameが設定されていない場合、Swiftクライアントなどのクライアントがゲートウェイへのアクセスを試行すると、警告メッセージが表示されます。
/usr/lib/python2.7/site-packages/urllib3/connection.py:251: SecurityWarning: Certificate has no `subjectAltName`, falling back to check for a `commonName` for now. This feature is being removed by major browsers and deprecated by RFC 2818. (See https://github.com/shazow/urllib3/issues/497 for details.)
タイプdNSName
のsubjectAltName
拡張機能がある場合は、それがアイデンティティとして使用されます。 それ以外は、証明書のSubject
フィールドのCommon Name
フィールドが使用されます。 共通名の使用は既存の方法ですが、これは非推奨であり、認証局ではdNSNameをかわりに使用することが推奨されています。
警告がまったく表示されないようにするには、次を実行します。
鍵と証明書を生成する作業ディレクトリで、テンプレートのOpenSSL構成ファイルのコピーを作成します。
#
cp /etc/pki/tls/openssl.cnf ./
./openssl.cnf
の構成ファイル・テンプレートを修正し、次の変更を行います。[ req ]
セクションで、次の行が非コメント化されていることと、先頭に#文字が付いていないことを確認します。req_extensions = v3_req # The extensions to add to a certificate request
[ v3_req ]
セクションで、このセクションのパラメータの最後に、次の行を追加します。subjectAltName = @alt_names
構成ファイルの最後にセクションを追加します。
[ alt_names ] DNS.1 =
hostname.example.com
hostname.example.com
を、証明書を作成するホストの完全修飾ドメイン名に置き換えます。
通常どおり証明書鍵を生成します。
#
openssl genrsa -out
hostname.example.com
.key 2048証明書鍵と新しい
openssl.cnf
ファイルを使用して証明書署名リクエスト(CSR)を作成します。#
openssl req -new -key
hostname.example.com
.key \ -outhostname.example.com
.csr -extensions v3_req -config openssl.cnf生成されたCSRを使用して、信頼できる認証局(CA)から署名証明書を取得することもできます。 または、テスト目的で、次のようにこれを使用して自己署名証明書を生成することもできます。
v3要件の情報をホストできる新しい構成ファイル
v3.cnf
を作成します。 これを編集して、次の行を追加します。[v3_req] subjectAltName = @alt_names [alt_names] DNS.1 =
hostname.example.com
次のOpenSSLコマンドを実行し、CSRとローカル鍵を使用して自己署名証明書を生成します。
# openssl x509 -req -days 365 -in
hostname.example.com
.csr -signkeyhostname.example.com
.key \ > -outhostname.example.com
.crt -extensions v3_req -extfile v3.cnf
鍵、CSRおよび証明書をホスト上の使用可能な場所にコピーします。
# cp -f
hostname.example.com
.crt /etc/pki/tls/certs/ # cp -fhostname.example.com
.csr /etc/pki/tls/private/ # cp -fhostname.example.com
.key /etc/pki/tls/private/Ceph Object Gatewayが起動時に使用可能な、鍵と証明書の両方を含む単一のPEMファイルを作成します。
#
cp
#hostname.example.com
.crthostname.example.com
.pemcat
#hostname.example.com
.key >>hostname.example.com
.pemcp
hostname.example.com
.pem /etc/pki/tls/
(Oracle Bug#24424028)