如本文档所述,Openstack Keystone PKI 使用两个证书: https ://www.mirantis.com/blog/understanding-openstack-authentication-keystone-pki/
CA 证书和签名证书。
到目前为止我的理解:签名密钥用于对用户令牌进行签名,而签名证书包含相应的公钥,并将与解密用户令牌时使用的服务端点共享。
这个对吗?如果是这样,CA 证书和 CA 密钥的用途是什么?
问问题
1328 次
2 回答
1
我建议http://docs.openstack.org/admin-guide-cloud/content/certificates-for-pki.html上的 OpenStack 文档
PKI 代表公钥基础设施。令牌是使用 X509 标准加密签名的文档。为了正常工作,令牌生成需要一个公钥/私钥对。公钥必须在 X509 证书中签名,并且用于签名的证书必须可用作证书颁发机构 (CA) 证书。
令牌都经过签名和验证。没有解密。
使用的证书和证书颁发机构可以是内部的或外部的,云提供商如何选择配置它取决于他们。
于 2015-03-25T13:56:36.283 回答
1
在 PKI 环境中证书(签名证书)由 CA 签名。CA 通常是外部实体,但如果您使用 keystone-manage pki_setup 生成签名密钥,它首先在本地设置 CA 并签署 keystone 使用的证书。
CA key 用于 CA,keystone 没有任何用处。
Keystone 只需要自己的私钥、签名证书和 CA 证书。
希望这是有用的。
-谢谢
于 2015-04-13T07:47:01.077 回答