Barbican:
to usługa OpenStack Key Manager. Zapewnia bezpieczne przechowywanie, udostępnianie i zarządzanie tajnymi danymi, takimi jak hasła, klucze szyfrujące, certyfikaty X.509.
Założenia:
Certyfikat SSL jest przechowywany w usłudze Barbican. Połączenia szyfrowane https są przyjmowane przez load balancer (haproxy) a połączenia z haproxy do "prawdziwych serwerów" są realizowane w bezpiecznym środowisku w komunikacji nieszyfrowanej.
...
Do zrealizowania zadania wymagane jest wykupienie nazwy DNS w globalnym systemie DNS lub wykorzystanie nazwy w domenie man.poznan.pl, która jest automatycznie generowana dla każdego zewnętrznego adresu IP.
Na potrzeby tej intrukcji wykorzystamy instrukcji wykorzystamy certyfikat z domeny man.pozan.pl
Przygotowanie środowiska:
...
Należy utworzyć zewnętrzny pływając adres IP, który będzie wykorzystany na potrzeby load balancera. Przy pomocy narzędzie nslookup weryfikujemy rekord A . --> Na tą nazwę należy wygenerować certyfikat SSL.
Złożenie wniosku o certyfikat SSL:
...
Przed przystąpieniem do procedury należy utworzyć zgłoszenie ServiceDesk w celu nadania odpowiednich uprawnień w Openstack (rola creator) https://support.pcss.pl/servicedesk/customer/portal/6
W celu prawidłowej obługi obsługi certyfikatu należy utworzyć plik w formacie PKCS12.
...
W panelu web-owym OpenStack Projekt -->Sieć-->Load Balancers -->Utwórz
Wskazujemy podsieć wewnętrzną naszych serwerów i dodajemy nazwę:
Kolejno:
Następnie:
W kolejnym kroku wybieramy serwery oraz dodajmy port
...
:
W ostatnim kroku należy dodać certyfikat SSL:
Czekamy aż status będzie na Online Aktywny i dodajemy pływający adres IP z sieci zewnętrznej.