网络控制器的部署后步骤
安装网络控制器时,你可以选择 Kerberos 或非 Kerberos 部署。
对于非 Kerberos 部署,你必须配置证书。
为非 Kerberos 部署配置证书
如果用于网络控制器和管理客户端的计算机或虚拟机 (VM) 未加入域,则你必须通过完成以下步骤来配置基于证书的身份验证。
在网络控制器上创建用于计算机身份验证的证书。 证书使用者名称必须与网络控制器计算机或 VM 的 DNS 名称相同。
在管理客户端上创建证书。 网络控制器必须信任此证书。
在网络控制器计算机或 VM 上注册证书。 该证书必须满足以下要求。
必须在增强型密钥用途 (EKU) 或应用程序策略扩展中配置服务器身份验证用途和客户端身份验证用途。 服务器身份验证的对象标识符为 1.3.6.1.5.5.7.3.1。 客户端身份验证的对象标识符为 1.3.6.1.5.5.7.3.2。
证书使用者名称应解析为:
网络控制器计算机或 VM 的 IP 地址(如果网络控制器部署在单台计算机或单个 VM 上)。
REST IP 地址(如果网络控制器部署在多台计算机和/或多个 VM 上)。
此证书必须受所有 REST 客户端信任。 此证书还必须受软件负载均衡 (SLB) 多路复用器 (MUX) 和由网络控制器管理的 southbound 主机的信任。
证书可以是通过证书颁发机构 (CA) 注册的,也可以是自签名证书。 不建议将自签名证书用于生产部署,但对于测试实验室环境是可接受的。
必须在所有网络控制器节点上预配相同的证书。 在一个节点上创建证书后,你可以导出证书(带私钥)并在其他节点上导入它。
有关详细信息,请参阅网络控制器。