OpenStack Anchor项目介绍

Anchor简介

Anchor提供轻量级的PKI服务，可以自动验证证书请求文件以及签发客户端证书。所签发证书的有效期通常比较短（一般是12-24小时）。
PKI系统通常存在一个严重问题，即证书的撤销（如何保证一个已经被撤销的证书不再被信任），现有的两种证书撤销方法（CRL/OCSP）均无法有效解决这个问题。通过签发短生命周期的证书，Anchor可以有效解决PKI系统中证书撤销的问题

安装

Anchor目前只支持从源码安装，安装前必须先安装一些必须的依赖：

python 2.7
python (dev files)
libffi (dev)
libssl (dev)

克隆anchor仓库：
git clone https://git.openstack.org/openstack/anchor && cd anchor
python setup.py install

使用

服务启动

Anchor服务支持两种启动方式：

pecan serve anchor/config.py

这种方式适用于调试模式，启动后默认监听本地5016端口

uwsgi --http-socket :5016 --pecan config.py -p 4

这种方式适用于生产环境中

服务认证

Anchor支持三种认证方法：static/keystone/ldap

Static：认证所用的用户名/密码明文保存在配置文件中，适用于调试模式
Keystone：只需在配置文件中配置keystone服务的endpoint即可进行验证
LDAP：认证所需信息明文保存在配置文件中

支持后端

Anchor的证书签发功能支持插件式扩展，目前已经集成了两种插件：

cryptography.io
PKCS#11

Anchor应用情况

Anchor在OpenStack中的应用很少，目前还未见到Anchor与OpenStack中的服务集成。