SSL证书配置

前置条件

• CentOS >=7.2
• Nginx >=1.3.7
• 你的公网域名是可以访问你的主机的

证书生成及使用

安装软件

sudo yum install -y nginx
sudo yum install -y epel-release certbot

编辑Nginx配置文件

• 配置文件所在路径/etc/nginx/nginx.conf
• 在server中添加或修改以下信息

server {
    listen 80;
    server_name 你的公网域名;
    location ~ /.well-known {
        root /usr/share/nginx/html;
        allow all;
    }
}

启动Nginx

service start nginx

生成证书

 sudo certbot certonly --webroot -w /usr/share/nginx/html -d 你的公网域名

• 生成后的证书位置在/etc/letsencrypt/live/你的公网域名/路径下。

Openshift使用以上步骤生成的证书

• 在Ansible命令的hosts(机器清单)文件的OSEv3:vars分组，添加以下属性：

# 若你已经部署好了Openshift集群，请设置证书覆盖模式
openshift_master_overwrite_named_certificates=true

# 制定你的证书位置及域名
openshift_master_named_certificates=[{"certfile": "/etc/letsencrypt/live/你的公网域名/fullchain.pem", "keyfile": "/etc/letsencrypt/live/你的公网域名/privkey.pem", "names": ["你的公网域名"]}]

• 按照搭建Openshift集群时执行Ansible的命令进行部署。

参考资料

证书生成工具Certbot

Configuring Custom Certificates