[ English | русский | Deutsch | 한국어 (대한민국) | English (United Kingdom) | Indonesia | español | français ]
Защита сервисов при помощи SSL сертификатов¶
Инструкция по безопасности OpenStack рекомендует использовать защищенное соединение между различными сервисами в окружении OpenStack. Проект OpenStack-Ansible в данный момент предоставляет возможность настройки SSL сертификатов для безопасного взаимодействия между сервисами:
All public endpoints reside behind haproxy, resulting in the only certificate management for externally visible https services are those for haproxy. Certain internal services such as RabbitMQ also require proper SSL configuration.
Во время развертывания с OpenStack-Ansible вы можете либо использовать самоподписанные сертификаты, которые будут сгенерированы во время процесса развертывания, либо предоставить SSL сертификаты, ключи и промежуточные сертификаты для вашего доверенного центра сертификации. Высокозащищенные окружения используют доверенные сертификаты, предоставленные пользователями, для максимально возможного количества сервисов.
Примечание
Выполните все настройки SSL сертификатов в файле /etc/openstack_deploy/user_variables.yml. Не редактируйте роли или плейбуки самостоятельно для этого.
Openstack-Ansible uses an ansible role ansible_role_pki as a general tool to manage and install self-signed and user provided certificates.
Самоподписанные сертификаты¶
Self-signed certificates enable you to start quickly and encrypt data in transit. However, they do not provide a high level of trust for public endpoints in highly secure environments. By default, self-signed certificates are used in OpenStack-Ansible. When self-signed certificates are used, certificate verification is automatically disabled.
Self-signed certificates can play an important role in securing internal services within the Openstack-Ansible deployment, as they can only be issued by the private CA associated with the deployment. Using mutual TLS between backend services such as RabbitMQ and MariaDB with self-signed certificates and a robust CA setup can ensure that only correctly authenticated clients can connect to these internal services.
Generating and regenerating self-signed certificate authorities¶
A self-signed certificate authority is generated on the deploy host during the first run of the playbook.
To regenerate the certificate authority you must set the
openstack_pki_regen_ca variable to either the name of the root CA
or intermediate CA you wish or regenerate, or to true to regenerate
all self-signed certificate authorities.
# openstack-ansible -e "openstack_pki_regen_ca=ExampleCorpIntermediate" certificate-authority.yml
Take particular care not to regenerate Root or Intermediate certificate authorities in a way that may invalidate existing server certificates in the deployment. It may be preferable to create new Intermediate CA certificates rather than regenerate existing ones in order to maintain existing chains of trust.
Генерация и пере-генерация самоподписанных сертификатов¶
Самоподписанные сертификаты генерируются для каждого сервиса во время первого запуска плейбука.
To generate a new self-signed certificate for a service, you must set
the <servicename>_pki_regen_cert variable to true in one of the
following ways:
Для принудительного обновления самоподписанного сертификата, вы можете передать переменную
openstack-ansibleв командной строке:# openstack-ansible -e "haproxy_pki_regen_cert=true" haproxy-install.yml
To force a self-signed certificate to regenerate with every playbook run, set the appropriate regeneration option to
true. For example, if you have already run thehaproxyplaybook, but you want to regenerate the self-signed certificate, set thehaproxy_pki_regen_certvariable totruein the/etc/openstack_deploy/user_variables.ymlfile:haproxy_pki_regen_cert: true
Сертификаты, предоставленные пользователем¶
Для большего доверия в высоконадежных окружениях, вы можете предоставить собственный SSL сертификат, ключи и промежуточные сертификаты. Получение сертификатов из доверенного центра сертификации находится за пределами данного документа, но раздел Управление Сертификатами Linux Documentation Project объясняет как создать свой собственный центр сертификации и подписывать сертификаты.
Используйте следующий подход для установки собственных SSL сертификатов в OpenStack-Ansible:
Скопируйте ваш SSL сертификат, ключ и промежуточные сертификаты на хост развертывания.
Укажите путь к вашему SSL сертификату, ключу и промежуточным сертификатам в файле
/etc/openstack_deploy/user_variables.yml.Запустите плейбуки для этого сервиса.
Пример HAProxy¶
Переменные к определению, которые содержат путь к сертификатам на ноде развертывания для настройки HAProxy:
haproxy_user_ssl_cert: /etc/openstack_deploy/ssl/example.com.crt
haproxy_user_ssl_key: /etc/openstack_deploy/ssl/example.com.key
haproxy_user_ssl_ca_cert: /etc/openstack_deploy/ssl/ExampleCA.crt
Пример RabbitMQ¶
Для установки определенных пользователем сертификатов на RabbitMQ, скопируйте сертификаты на хост развертывания, отредактируйте файл /etc/openstack_deploy/user_variables.yml и задайте следующие переменные:
rabbitmq_user_ssl_cert: /etc/openstack_deploy/ssl/example.com.crt
rabbitmq_user_ssl_key: /etc/openstack_deploy/ssl/example.com.key
rabbitmq_user_ssl_ca_cert: /etc/openstack_deploy/ssl/ExampleCA.crt
Потом запустите плейбук для применения сертификатов:
# openstack-ansible rabbitmq-install.yml
Плейбук установит предоставленный вами SSL сертификат, ключ и промежуточные сертификаты на каждый контейнер RabbitMQ.
Процесс идентичен для остальных сервисов. Замените префикс rabbitmq в переменной на horizon, haproxy или keystone, а после запустите плейбук для данного сервиса для разливки предоставленного сертификата на данные сервисы.
Сертификаты LetsEncrypt¶
Ansible роль HAProxy поддерживает использование LetsEncrypt для автоматического развертывания доверенных SSL сертификатов для публичных точек входа. Каждый сервер HAProxy будет независимо запрашивать сертификат LetsEncrypt.
Проверка http-01 используется certbot-ом для выпуска сертификатов, в связи с чем необходимо что б публичные точки входа были доступны напрямую из интернета.
Развертывание сертификатов используя LetsEncrypt было проверено для openstack-ansible используя Ubuntu Bionicю Другие дистрибутивы должны работать, однако не были протестированы.
Для выпуска сертификатов при помощи LetsEncrypt, добавьте следующее в /etc/openstack_deploy/user_variables.yml для включения LetsEncrypt опции в ansible роли HAProxy, и создать новый бэкенд сервис, который называется letsencrypt для прохождения проверки http-01.
haproxy_ssl: true
haproxy_ssl_letsencrypt_enable: True
haproxy_ssl_letsencrypt_install_method: "distro"
haproxy_ssl_letsencrypt_email: "email.address@example.com"
If you don’t have horizon deployed, you will need to define dummy service that will listen on 80 and 443 ports and will be used for acme-challenge, whose backend is certbot on the haproxy host:
haproxy_extra_services:
# the external facing service which serves the apache test site, with a acl for LE requests
- service:
haproxy_service_name: certbot
haproxy_redirect_http_port: 80 #redirect port 80 to port ssl
haproxy_redirect_scheme: "https if !{ ssl_fc } !{ path_beg /.well-known/acme-challenge/ }" #redirect all non-ssl traffic to ssl except acme-challenge
haproxy_port: 443
haproxy_frontend_acls: "{{ haproxy_ssl_letsencrypt_acl }}" #use a frontend ACL specify the backend to use for acme-challenge
haproxy_ssl: True
haproxy_backend_nodes: #apache is running on locally on 127.0.0.1:80 serving a dummy site
- name: local-test-service
ip_addr: 127.0.0.1
haproxy_balance_type: http
haproxy_backend_port: 80
haproxy_backend_options:
- "httpchk HEAD /" # request to use for health check for the example service
