受支持的 CA 证书

配置自定义 CA 证书

配置 DC/OS Enterprise 以使用自定义 CA 证书

每个 DC/OS Enterprise 群集都有自己的 DC/OS 证书颁发机构 (CA)。默认情况下，CA 使用在安装 DC/OS 期间生成的全局唯一根 CA 证书。根 CA 证书用于为 DC/OS 组件（如 Admin Router）签署证书。您可以将 DC/OS Enterprise 配置为使用自定义 CA 证书，而不是使用自动生成的根 CA 证书，该证书可以是根 CA 证书，也可以是中间 CA 证书。（参见示例）

使用 DC/OS Enterprise 群集的自定义 CA 证书的好处包括：

确保 DC/OS 群集中用于签名和加密的所有 X.509 证书都来自您组织的 X.509 证书层次结构。
控制密钥对的安全属性，如类型和强度，用于签署 DC/OS 组件证书。
确保所有 DC/OS 组件（包括 Admin Router）都提供浏览器信任的证书。

受支持的 CA 证书

仅支持具有关联 RSA 类型密钥对的自定义 CA 证书。不支持其他类型的证书，如使用 ECC 类型密钥对的证书。
只有全新安装的 DC/OS Enterprise 1.10 或更高版本才支持自定义 CA 证书。不支持较旧版本的 DC/OS，并且在升级期间无法添加自定义 CA 证书。

术语表

自定义 CA 证书： PEM 格式的自定义 CA 证书，用于为 DC/OS 组件（如 Admin Router）颁发证书。自定义 CA 证书是中间 CA 证书（由其他 CA 颁发）或根 CA 证书（由自定义 CA 自签名）。
**与自定义 CA 证书相关联的私钥：**与自定义 CA 证书关联的 PKCS#8 格式的私钥。
**与自定义 CA 证书相关联的证书链：**终端实体证书验证所需的完整 CA 证书链。它必须包括中间自定义 CA 的所有父级 CA 证书，其中包括根 CA 证书。如果自定义 CA 证书为根 CA 证书，则证书链必须为空。
**安装目录：**DC/OS 安装程序驻留的 bootstrap 节点上的目录。在本文档中以表示。
**配置：**管理安装过程特定方面的配置参数集。配置存储在 DC/OS 配置文件中。
**DC/OS 配置文件：**包含 DC/OS 配置参数的文件。DC/OS 配置文件通常被称为 config.yaml，并且必须在安装期间出现在 bootstrap 节点上的 $DCOS_INSTALL_DIR/genconf/ 的目录中。它由 DC/OS 安装程序使用。

要求

要使用自定义 CA 证书安装 DC/OS Enterprise，您需要：

使用高级 DC/OS 安装方法. 不支持其他安装方法。
包含自定义 CA 证书的文件。
包含与自定义 CA 证书相关联的私钥的文件。
包含与自定义 CA 证书相关联的证书链的文件，如果 CA 不是自签名根 CA。

自定义 CA 证书、关联的私钥和证书链文件必须放在 bootstrap 节点上的 $DCOS_INSTALL_DIR/genconf/ 的目录中：

dcos-ca-certificate.crt
dcos-ca-certificate-chain.crt

手动放置私钥

出于安全原因，安装程序不会将私钥从 bootstrap 节点复制到主节点。在开始安装之前，必须手动将与自定义 CA 证书相关联的私钥分发到每个 DC/OS 主节点。

私钥文件的文件系统路径必须是 /var/lib/dcos/pki/tls/CA/private/custom_ca.key. 目录 /var/lib/dcos/pki/tls/CA/private/ 必须在将文件 custom_ca.key 放置在每个 DC/OS 主节点上的目录中之前使用以下命令手动创建。

 mkdir -p /var/lib/dcos/pki/tls/CA/private

此外，包含与自定义 CA 证书对应的私钥 custom_ca.key 的文件必须由 root Unix 用户拥有，并且设置了 0600 权限。

如果通过网络将私钥文件复制到主节点上，则必须充分保护网络通道。下面提供了复制 CA 私钥的示例。命令将在 bootstrap 节点上执行。以下 W.X.Y.Z 表示主节点的 IP 地址：

cd $DCOS_INSTALL_DIR/genconf
scp dcos-ca-certificate-key.key centos@W.X.Y.Z:/var/lib/dcos/pki/tls/CA/private/custom_ca.key

指定位置

bootstrap 节点上 $DCOS_INSTALL_DIR/genconf/ 目录中的自定义 CA 证书、关联私钥和证书链文件的文件系统路径必须在 DC/OS 配置文件中分别使用 ca_certificate_path、ca_certificate_key_path 和 ca_certificate_chain_path 参数进行指定。路径必须相对于 $DCOS_INSTALL_DIR.

以下部分显示如何设置这些配置参数。

配置参数参考

到包含 OpenSSL PEM 格式的单个 X.509 CA 证书的文件的路径（相对于 $DCOS_INSTALL_DIR 例如：genconf/dcos-ca-certificate.crt。它是 根 CA 证书（“自签名”）或是由其他证书颁发机构签署的 中间 CA 证书（“交叉认证”）。

与自定义 CA 证书相关联的公钥必须为 RSA 类型。

ca_certificate_key_path

到包含私匙文件的路径（相对于 $DCOS_INSTALL_DIR），该私匙对应于自定义 CA 证书，以 OpenSSL (PKCS#8) PEM 格式编码。例如：genconf/CA_cert.key.

这是高度敏感的数据。配置处理器仅为配置验证目的访问此文件，并且不复制数据。成功配置验证后，需要将此文件从带外放置到路径 /var/lib/dcos/pki/tls/CA/private/custom_ca.key 上所有 DC/OS 主节点的文件系统中，然后再启动大多数 DC/OS systemd 单元。该文件必须是根用户可读取的，并且应该具有 0600 权限集。

如果指定了 ca_certificate_path，则此路径是必需的。

ca_certificate_chain_path

到包含完整 CA 证书链文件的路径（相对于 $DCOS_INSTALL_DIR），该证书链是终端实体证书验证所需的，采用 OpenSSL PEM 格式。例如：genconf/CA_cert_chain.pem.

如果 ca_certificate_path 指向自签名根 CA 证书，则不能定义此参数。

否则，ca_certificate_chain_path 指向一个文件，该文件包含 CA 证书到自签名根 CA 证书的完整链，但不包括 ca_certificate_path. 中的签名证书。顺序很重要：第一个证书必须验证 ca_certificate_path 中的签名证书，而每个后续证书必须验证先前的证书。

使用自定义 CA 证书安装 DC/OS Enterprise

先决条件

通过高级安装程序安装 DC/OS Enterprise 是根据相应文档编写，直至文档的部分。
在 bootstrap 节点上，带有自定义 CA 证书、关联的私钥和可选的 CA 证书链的文件已放入 $DCOS_INSTALL_DIR/genconf/ 的目录中。（请参阅上面的部分，了解更多详细说明）
与自定义 CA 证书相关联的私钥已安全地放置在所有 DC/OS 主节点上（有关更多信息，请参阅本）。在 DC/OS 主节点之一上发出命令的示例：

stat /var/lib/dcos/pki/tls/CA/private/custom_ca.key

File: ‘/var/lib/dcos/pki/tls/CA/private/custom_ca.key’
Size: 9             Blocks: 8          IO Block: 4096   regular file
Device: ca01h/51713d    Inode: 100671105   Links: 1
Context: unconfined_u:object_r:var_lib_t:s0
Access: 2017-12-27 12:35:58.643278377 +0000
Modify: 2017-12-27 12:35:58.643278377 +0000
Change: 2017-12-27 12:36:13.019162417 +0000
Birth: -

配置参数 ca_certificate_path、ca_certificate_key_path 和 ca_certificate_chain_path 在 DC/OS 配置文件 $DCOS_INSTALL_DIR/genconf/config.yaml 中指定并指向文件系统中的相关位置。在 bootstrap 节点上发出命令的示例：

cd $DCOS_INSTALL_DIR
cat genconf/config.yaml

请注意，在使用根证书作为自定义 CA 证书设置 DC/OS Enterprise 时，不得存在 ca_certificate_chain_path

按照[高级安装程序文档]中的说明继续安装。(/mesosphere/dcos/cn/2.1/installing/production/deploying-dcos/installation/#install-dcos). 请注意，当执行 dcos_generate_config.ee.sh 时，当前工作目录必须是 $DCOS_INSTALL_DIR 目录。

验证安装

验证是否使用自定义 CA 证书正确安装 DC/OS Enterprise 群集的一种方法是启动到 Admin Router 的 TLS 连接，Admin Router 在安装后会显示自定义 CA 签署的证书。为此，您首先需要获取已部署群集的 DC/OS CA 捆绑包。本页面显示了您如何做到这一点。

如果您已经获得 DC/OS CA 捆绑包，并将其存储在名为 dcos-ca.crt 的文件中，在包含 dcos-ca.crt 文件的目录中发出以下命令，以检查主节点上的 Admin Router 是否使用自定义 CA 签署的证书：

openssl s_client -verify_ip <private_ip_master_node_X> -CAfile dcos-ca.crt -connect <public_ip_master_node_X>:443 | grep -e "s:" -e "i:" -e "return code:"

输出应如下所示：

depth=3 DC = io, DC = integration-test, C = DE, ST = Utopia, O = DC/OS, OU = Programmer Unit, CN = Integration Test Root CA
verify return:1
depth=2 DC = io, DC = integration-test, C = DE, ST = Utopia, O = DC/OS, OU = Programmer Unit, CN = Integration Test Intermediate CA 01
verify return:1
depth=1 DC = io, DC = integration-test, C = DE, ST = Utopia, O = DC/OS, OU = Programmer Unit, CN = Integration Test Intermediate CA 02
verify return:1
depth=0 C = US, ST = CA, L = San Francisco, O = "Mesosphere, Inc.", CN = AdminRouter on 172.31.12.45
verify return:1
 0 s:/C=US/ST=CA/L=San Francisco/O=Mesosphere, Inc./CN=AdminRouter on 172.31.12.45
   i:/DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Intermediate CA 02
 1 s:/DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Intermediate CA 02
   i:/DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Intermediate CA 01
 2 s:/DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Intermediate CA 01
   i:/DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Root CA
    Verify return code: 0 (ok)

用例示例

本部分介绍了如何在 ca_certificate_path DC/OS 配置文件中为自定义 CA 证书层次结构的最常见用例指定三个配置参数 ca_certificate_key_path、ca_certificate_chain_path 和 $DCOS_INSTALL_DIR/genconf/config.yaml

存在以下文件：

在 bootstrap 节点上：
- $DCOS_INSTALL_DIR/genconf/dcos-ca-certificate.crt- 包含自定义 CA 证书的文件
- - 包含与自定义 CA 证书相关联的私钥的文件

以下是自定义根 CA 证书的 issuer 和 subject 字段示例：

cd $DCOS_INSTALL_DIR
openssl x509 -in genconf/dcos-ca-certificate.crt -issuer -subject -noout

issuer= /DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Root CA
subject= /DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Root CA

由于自定义 CA 证书是根 CA 证书，且相应的 CA 证书链为空，因此我们必须省略 DC/OS 配置文件中的 ca_certificate_chain_path 参数。必须在 bootstrap 节点上的 $DCOS_INSTALL_DIR/genconf/config.yaml 文件中指定如下内容的配置参数：

ca_certificate_path: genconf/dcos-ca-certificate.crt
ca_certificate_key_path: genconf/dcos-ca-certificate-key.key

在该用例中，自定义 CA 证书是由 root CA 直接颁发的中间 CA 证书。CA 证书链只包含该根 CA 证书。存在以下文件：

在 bootstrap 节点上：
- $DCOS_INSTALL_DIR/genconf/dcos-ca-certificate.crt- 包含自定义 CA 证书的文件，格式为 PEM
- $DCOS_INSTALL_DIR/genconf/dcos-ca-certificate-key.key- 包含与自定义 CA 证书相关联的私钥的文件，格式为 PKCS#8
- $DCOS_INSTALL_DIR/genconf/dcos-ca-certificate-chain.crt- 仅包含 PEM 格式的根 CA 证书的文件
在主节点
- /var/lib/dcos/pki/tls/CA/private/custom_ca.key- 包含与自定义 CA 证书相关联的私钥的文件，格式为 PKCS#8

以下是适当的中间自定义 CA 证书示例：

cd $DCOS_INSTALL_DIR
openssl x509 -in genconf/dcos-ca-certificate.crt -issuer -subject -noout

以下是相应的 CA 证书链的示例：

cd $DCOS_INSTALL_DIR
cat genconf/dcos-ca-certificate-chain.crt | awk -v cmd="openssl x509 -issuer -subject -noout && echo" '/-----BEGIN/ { c = $0; next } c { c = c "\n" $0 } /-----END/ { print c|cmd; close(cmd); c = 0 }'

issuer= /DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Root CA
subject= /DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Root CA

必须在 bootstrap 节点上的 $DCOS_INSTALL_DIR/genconf/config.yaml DC/OS 配置文件中指定类似于以下内容的配置参数：

ca_certificate_path: genconf/dcos-ca-certificate.crt
ca_certificate_key_path: genconf/dcos-ca-certificate-key.key
ca_certificate_chain_path: genconf/dcos-ca-certificate-chain.crt

在该用例中，自定义 CA 证书是其他中间 CA 直接颁发的中间 CA 证书，而后者的证书又由根 CA 颁发。

CA 证书链包括

颁发中间 CA 的 CA 证书，以及
根 CA

按以上顺序。

存在以下文件：

在 bootstrap 节点上：
- $DCOS_INSTALL_DIR/genconf/dcos-ca-certificate.crt- 包含自定义 CA 证书的文件，格式为 PEM
- $DCOS_INSTALL_DIR/genconf/dcos-ca-certificate-key.key- 包含与自定义 CA 证书相关联的私钥的文件，格式为 PKCS#8
- $DCOS_INSTALL_DIR/genconf/dcos-ca-certificate-chain.crt- 包含证书链的文件，格式为 PEM
在主节点
- /var/lib/dcos/pki/tls/CA/private/custom_ca.key- 包含与自定义 CA 证书相关联的私钥的文件，格式为 PKCS#8

以下是适当的自定义中间 CA 证书示例：

cd $DCOS_INSTALL_DIR
openssl x509 -in genconf/dcos-ca-certificate.crt -issuer -subject -noout

issuer= /DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Intermediate CA 01
subject= /DC=io/DC=integration-test/C=DE/ST=Utopia/O=DC/OS/OU=Programmer Unit/CN=Integration Test Intermediate CA 02

cd $DCOS_INSTALL_DIR
cat genconf/dcos-ca-certificate-chain.crt | awk -v cmd="openssl x509 -issuer -subject -noout && echo" '/-----BEGIN/ { c = $0; next } c { c = c "\n" $0 } /-----END/ { print c|cmd; close(cmd); c = 0 }'

必须在 bootstrap 节点上的 $DCOS_INSTALL_DIR/genconf/config.yaml DC/OS 配置文件中指定如下内容的配置参数：

ca_certificate_path: genconf/dcos-ca-certificate.crt
ca_certificate_chain_path: genconf/dcos-ca-certificate-chain.crt