在 OpenShift Origin 中,我需要生成密钥和证书以确保我的连接安全。这些密钥来自哪里?

在 OpenShift Origin 中,我需要生成密钥和证书以确保我的连接安全。这些密钥来自哪里?

在 OpenShift Origin 中,我需要生成密钥和证书以确保我的连接安全。这些密钥来自哪里?

这些密钥是 PEM 格式的,我真的不知道在哪里可以找到它们或如何生成它们。

我知道有人问过类似的问题,但没有一个能回答我的问题,而且 OpenShift 的文档也不是最好的。

最好使用 GUI 而不是命令行,但如果必须的话我也会这样做。

谢谢!

答案1

SSL 密钥基础设施旨在防止中间人 (MITM) 攻击。假设您是一家银行。MITM 可以拦截您与客户之间的通信,冒充您的客户,并冒充您的客户。

为此,中间人必须生成一个密钥,并使用该密钥加密您与客户之间的通信。但是,浏览器会要求您的银行服务器(以及任何其他服务器)提供来自受信任的第三方的证书,以确保该密钥确实属于银行的服务器,从而阻止 MITM 执行此操作。MITM 无法获得此类证书,但如果您是有效的银行服务器,则可以。

因此,为了保护您的客户,您需要生成私钥和证书请求。

  1. 使用以下命令生成您的私钥(.key)和证书请求文件(.csr):

openssl req -new -newkey rsa:2048 -nodes -keyout <your_domain>.key -out <your_domain>.csr

CSR 文件基本上是你向认证机构提出的请求,以验证你的密钥确实属于域名所有者银行<your_domain>

  1. 将 CSR 文件发送给证书颁发机构。这可能是一些 SSL 销售商,如 COMODO 或 GODADDY。或者,您可以颁发自签名证书并进行验证(但浏览器不会信任您,因为您知道,MITM 也可以创建自签名证书)

  2. 颁发机构将返回一个带有签名证书的 .CRT 或 .CER 文件给您,以及一组上游 .CER 文件(颁发机构本身也可以不具备任何权限,但可以被更高级别的颁发机构授予签署和销售证书的特权 - 在这种情况下,您将获得 3 个证书 - 您自己的证书、中间经销商的证书和“真正”颁发机构的根证书)。

将这 3 个证书(您的证书、中间证书、根证书)连接到 .PEM 文件并将其与您的 OpenShift 服务器一起分发(转到应用程序 -> 路由并在该页面上按“编辑”以上传您的私钥和证书链)。

相关内容