Как работают Openstack Keystone PKI сертификаты?

Question

OpenStack Keystone PKI использует два сертификата, как этот документ упоминает: https://www.mirantis.com/blog/understanding-openstack-authentication-keystone-pki/

сертификат ЦС и сертификат подписи.

Мое понимание: Ключ подписи используется для подписывания токена пользователя, в то время как сертификат подписи содержит соответствующий открытый ключ и будет использоваться конечной точкой службы, которая будет использоваться при расшифровке токена пользователя.

Это правильно? Если да, то какова цель сертификата CA и ключа CA?

Answer 1

Я хотел бы предложить документацию OpenStack на http://docs.openstack.org/admin-guide-cloud/content/certificates-for-pki.html

ИПК обозначает инфраструктуры открытых ключей. Токены - это документы, криптографически подписанные с использованием стандарта X509. Для правильной работы генерации маркера требуется пара открытых/закрытых ключей. Открытый ключ должен быть подписан в сертификате X509, а сертификат, используемый для его подписания, должен быть доступен как сертификат центра сертификации (CA).

Токены подписаны и подтверждены. Нет расшифровки.

Используемые сертификаты и сертификаты могут быть внутренними или внешними и как поставщик облачных вычислений настраивает его, зависит от них.

Answer 2

В сертификате среды PKI (подпись) подписывается CA. CA обычно является внешним объектом, но если вы используете kiystone-manage pki_setup для генерации ключей подписи, он сначала настраивает CA локально и подписывает сертификат, который использует трассировка.

CA ключ используется для CA, keystone не использует его.

Keystone просто нужен собственный секретный ключ, подписанный сертификат и сертификат CA.

Надеюсь, это полезно.

-Положения