このドキュメントで言及されているように、Openstack Keystone PKI は 2 つの証明書を使用します: https://www.mirantis.com/blog/understanding-openstack-authentication-keystone-pki/
CA 証明書と署名証明書。
これまでの私の理解: 署名証明書に対応する公開鍵が含まれている間、署名鍵はユーザー トークンに署名するために使用され、ユーザー トークンの復号化中に使用されるサービス エンドポイントと共有されます。
これは正しいです?その場合、CA 証明書と CA キーの目的は何ですか?
PKI 環境では、証明書 (署名証明書) は CA によって署名されます。通常、CA は外部エンティティですが、keystone-manage pki_setup を使用して署名キーを生成する場合、最初に CA をローカルでセットアップし、keystone が使用する証明書に署名します。
CA キーは CA に使用されます。keystone はそれを使用しません。
Keystone に必要なのは、独自の秘密鍵、署名付き証明書、および CA 証明書だけです。
これが役に立つことを願っています。
-ありがとう
http://docs.openstack.org/admin-guide-cloud/content/certificates-for-pki.htmlにある OpenStack のドキュメントをお勧めします。
PKI は、Public Key Infrastructure の略です。トークンは、X509 標準を使用して暗号で署名されたドキュメントです。トークン生成を正しく機能させるには、公開鍵と秘密鍵のペアが必要です。公開鍵は X509 証明書で署名する必要があり、署名に使用する証明書は認証局 (CA) 証明書として使用できる必要があります。
トークンは署名済みで検証済みです。復号化はありません。
使用される証明書と認証局は、内部または外部である可能性があり、クラウド プロバイダーがそれを構成するためにどのように選択するかは、彼ら次第です。