[ English | русский | 한국어 (대한민국) | Deutsch | Indonesia | English (United Kingdom) | français ]
Mengamankan layanan dengan sertifikat SSL¶
OpenStack Security Guide merekomendasikan untuk menyediakan komunikasi yang aman antara berbagai layanan dalam penyebaran OpenStack. Proyek OpenStack-Ansible saat ini menawarkan kemampuan untuk mengonfigurasi sertifikat SSL untuk komunikasi aman antara layanan:
Semua endpoint publik berada di belakang haproxy, sehingga satu-satunya manajemen sertifikat yang paling dibutuhkan lingkungan adalah haproxy.
Saat menggunakan dengan OpenStack-Ansible, Anda bisa menggunakan sertifikat yang ditandatangani sendiri yang dihasilkan selama proses penyebaran atau memberikan sertifikat SSL, kunci, dan sertifikat CA dari otoritas sertifikat tepercaya Anda sendiri. Lingkungan yang sangat aman menggunakan sertifikat terpercaya, user-provided (disediakan pengguna) untuk sebanyak mungkin layanan.
Catatan
Lakukan semua konfigurasi sertifikat SSL dalam file /etc/openstack_deploy/user_variables.yml
. Jangan mengedit playbook atau role itu sendiri.
Sertifikat yang ditandatangani sendiri (self-signed certificate)¶
Sertifikat yang ditandatangani sendiri memungkinkan Anda untuk memulai dengan cepat dan mengenkripsi data dalam perjalanan. Namun, mereka tidak memberikan tingkat kepercayaan yang tinggi untuk lingkungan yang sangat aman. Secara default, sertifikat yang ditandatangani sendiri digunakan di OpenStack-Ansible. Ketika sertifikat yang ditandatangani sendiri digunakan, verifikasi sertifikat dinonaktifkan secara otomatis.
Menyetel data subjek untuk sertifikat yang ditandatangani sendiri¶
Ubah data subjek dari sertifikat yang ditandatangani sendiri dengan menggunakan variabel konfigurasi. Variabel konfigurasi untuk setiap layanan diformat sebagai <servicename>_ssl_self_signed_subject
. Misalnya, untuk mengubah data subjek sertifikat SSL untuk HAProxy, sesuaikan file /etc/openstack_deploy/user_variables.yml
sebagai berikut:
haproxy_ssl_self_signed_subject: "/C=US/ST=Texas/L=San Antonio/O=IT/CN=haproxy.example.com"
Untuk informasi lebih lanjut tentang bidang yang tersedia dalam subjek sertifikat, lihat dokumentasi OpenSSL untuk req subcommand.
Membuat dan membuat ulang sertifikat yang ditandatangani sendiri (self-signed certificate)¶
Sertifikat yang ditandatangani sendiri dibuat untuk setiap layanan selama menjalankan pertama dari playbook.
Untuk menghasilkan sertifikat yang ditandatangani sendiri untuk layanan, Anda harus mengatur variabel <servicename>_ssl_self_signed_regen
menjadi true dengan salah satu cara berikut:
Untuk memaksa sertifikat yang ditandatangani sendiri untuk dibuat ulang, Anda bisa meneruskan variabel ke
openstack-ansible
pada baris perintah:# openstack-ansible -e "horizon_ssl_self_signed_regen=true" os-horizon-install.yml
Untuk memaksa sertifikat yang ditandatangani sendiri untuk dibuat ulang dengan setiap kali playbook dijalankan, setel opsi regenerasi yang sesuai ke
true
. Misalnya, jika Anda sudah menjalankan playbookhaproxy
, tetapi Anda ingin membuat ulang sertifikat yang ditandatangani sendiri, setel variabelhaproxy_ssl_self_signed_regen
ketrue
di file/etc/openstack_deploy/user_variables.yml
:haproxy_ssl_self_signed_regen: true
Catatan
Regenerasi sertifikat yang ditandatangani sendiri menggantikan sertifikat yang ada apakah ditandatangani sendiri atau disediakan oleh pengguna.
User-provided certificate (sertifikat yang disediakan pengguna)¶
Untuk kepercayaan tambahan di lingkungan yang sangat aman, Anda dapat memberikan sertifikat SSL, kunci, dan sertifikat CA Anda sendiri. Memperoleh sertifikat dari otoritas sertifikat tepercaya berada di luar ruang lingkup dokumen ini, tetapi bagian Certificate Management dari Linux Documentation Project menjelaskan cara membuat otoritas sertifikat Anda sendiri dan menandatangani sertifikat.
Gunakan proses berikut untuk menggunakan sertifikat SSL yang disediakan pengguna di OpenStack-Ansible:
Salin file sertifikat SSL, kunci, dan CA Anda ke host penyebaran.
Tentukan path ke sertifikat SSL, kunci, dan sertifikat CA Anda di file
/etc/openstack_deploy/user_variables.yml
.Jalankan playbook untuk layanan itu.
Contoh HAProxy¶
Variabel yang akan ditetapkan yang menyediakan jalur pada deployment node ke sertifikat untuk konfigurasi HAProxy adalah:
haproxy_user_ssl_cert: /etc/openstack_deploy/ssl/example.com.crt
haproxy_user_ssl_key: /etc/openstack_deploy/ssl/example.com.key
haproxy_user_ssl_ca_cert: /etc/openstack_deploy/ssl/ExampleCA.crt
Contoh RabbitMQ¶
Untuk menggunakan sertifikat yang disediakan pengguna untuk RabbitMQ, salin sertifikat ke host penyebaran, edit file /etc/openstack_deploy/user_variables.yml
dan tetapkan tiga variabel berikut:
rabbitmq_user_ssl_cert: /etc/openstack_deploy/ssl/example.com.crt
rabbitmq_user_ssl_key: /etc/openstack_deploy/ssl/example.com.key
rabbitmq_user_ssl_ca_cert: /etc/openstack_deploy/ssl/ExampleCA.crt
Kemudian, jalankan playbook untuk menerapkan sertifikat:
# openstack-ansible rabbitmq-install.yml
Playbook menyebarkan sertifikat SSL, kunci, dan sertifikat CA yang disediakan pengguna ke setiap container RabbitMQ.
Prosesnya identik untuk layanan lain. Ganti rabbitmq dalam variabel konfigurasi sebelumnya dengan horizon, haproxy, atau keystone, dan kemudian jalankan playbook untuk layanan itu untuk menggunakan sertifikat yang disediakan pengguna ke layanan tersebut.
Sertifikat LetsEncrypt¶
Peran HAProxy yang didukung mendukung penggunaan LetsEncrypt untuk secara otomatis menggunakan sertifikat SSL tepercaya untuk public endpoint. Setiap server HAProxy secara individual akan meminta sertifikat LetsEncrypt.
Tantangan jenis HTTP-01 digunakan oleh certbot untuk menyebarkan sertifikat sehingga diperlukan titik akhir publik yang dapat diakses langsung di internet.
Penyebaran sertifikat menggunakan LetsEncrypt telah divalidasi untuk openstack-ansible menggunakan Ubuntu Bionic. Distribusi lain harus berfungsi tetapi tidak diuji.
Untuk menggunakan sertifikat dengan LetsEncrypt, tambahkan berikut ini ke /etc/openstack_deploy/user_variables.yml
untuk mengaktifkan fungsi letsencrypt dalam peran yang dimungkinkan haproxy, dan untuk membuat layanan backend baru yang disebut letsencrypt
ke layanan HTTP- 01 permintaan tantangan.
haproxy_ssl: true
haproxy_ssl_letsencrypt_enable: True
haproxy_ssl_letsencrypt_install_method: "distro"
haproxy_ssl_letsencrypt_email: "email.address@example.com"
If you don't have horizon deployed, you will need to define dummy service that will listen on 80 and 443 ports and will be used for acme-challenge, whose backend is certbot on the haproxy host:
haproxy_extra_services:
# the external facing service which serves the apache test site, with a acl for LE requests
- service:
haproxy_service_name: certbot
haproxy_redirect_http_port: 80 #redirect port 80 to port ssl
haproxy_redirect_scheme: "https if !{ ssl_fc } !{ path_beg /.well-known/acme-challenge/ }" #redirect all non-ssl traffic to ssl except acme-challenge
haproxy_port: 443
haproxy_frontend_acls: "{{ haproxy_ssl_letsencrypt_acl }}" #use a frontend ACL specify the backend to use for acme-challenge
haproxy_ssl: True
haproxy_backend_nodes: #apache is running on locally on 127.0.0.1:80 serving a dummy site
- name: local-test-service
ip_addr: 127.0.0.1
haproxy_balance_type: http
haproxy_backend_port: 80
haproxy_backend_options:
- "httpchk HEAD /" # request to use for health check for the example service