修改 OpenResty Edge 组件间通讯的服务器证书
支持版本:22.9.1-19
1. 前言
OpenResty Edge 不同角色的组件间通信都是加密通信。相关证书会在配置包里面提供,如果你需要进行修改,可以通过下面的步骤进行修改。
如果你只是想要设置 Edge Admin Web UI 的访问证书,则替换以下两个文件即可,后续的步骤无需进行。
/usr/local/oredge-admin/conf/ssl/ssl.crt
/usr/local/oredge-admin/conf/ssl/ssl.key
2. 设置 OpenResty Edge Log Server
Edge Log Server 会监听 12346 端口,供 Edge Admin 和 Edge Node 访问。 因此,我们需要替换此端口使用到的服务器证书。
假设你的证书名称为:
- NEW_LOG_SERVER.crt:你的 Log Server 证书,pem 格式。
- NEW_LOG_SERVER.key:你的 Log Server 秘钥。
# 备份
cp /usr/local/oredge-log-server/conf/or/edge_log_server.crt /usr/local/oredge-log-server/conf/or/edge_log_server.crt_bk
cp /usr/local/oredge-log-server/conf/or/edge_log_server.key /usr/local/oredge-log-server/conf/or/edge_log_server.key_bk
# 替换
cp NEW_LOG_SERVER.crt /usr/local/oredge-log-server/conf/or/edge_log_server.crt
cp NEW_LOG_SERVER.key /usr/local/oredge-log-server/conf/or/edge_log_server.key
# 重启服务
sudo systemctl start upgrade-oredge-log-server
3. 设置 OpenResty Edge Admin
Edge Admin 会启用 12345 端口,供 Edge Node 访问,同时会访问 Edge Log Server。 因此我们需要替换 Edge Admin 的服务器证书已经添加 Edge Log Server 的 CA 证书到信任证书集合中。
3.1 更新证书
假设你的证书名称为:
- NEW_ADMIN.crt:你的 Admin 证书,pem 格式。
- NEW_ADMIN.key:你的 Admin 秘钥。
- NEW_LOG_SERVER_CA.crt:生成你的 Log Server 证书的 CA。
# 备份
cp /usr/local/oredge-admin/conf/or/edge_admin.crt /usr/local/oredge-admin/conf/or/edge_admin.crt_bk
cp /usr/local/oredge-admin/conf/or/edge_admin.key /usr/local/oredge-admin/conf/or/edge_admin.key_bk
# 替换
cp NEW_ADMIN.crt /usr/local/oredge-admin/conf/or/edge_admin.crt
cp NEW_ADMIN.key /usr/local/oredge-admin/conf/or/edge_admin.key
# 添加信任证书
cat NEW_LOG_SERVER_CA.crt | sudo tee -a /usr/local/oredge-admin/conf/or/ca-bundle.crt
3.2 更新配置
编辑文件:/usr/local/oredge-admin/conf/config.ini
,添加以下内容到 “log_server” 配置块:
mbus_sni=SERVER_NAME
# 示例:
# mbus_sni=my.logserver.com
3.3 重启服务
sudo systemctl start upgrade-oredge-admin
4. 设置 OpenResty Edge Node
Edge Node 会主动访问 Edge Log Server 和 Edge Admin, 因此需要分别把 Edge Log Server 和 Edge Admin 的 CA 证书添加到 Edge Node 的证书信任列表中。
假设你的证书名称为:
- NEW_LOG_SERVER_CA.crt:生成你的 Log Server 证书的 CA。
- NEW_ADMIN_CA.crt:生成你的 Admin 证书的 CA。
4.2 添加信任证书
# 添加信任证书
cat NEW_LOG_SERVER_CA.crt | sudo tee -a /usr/local/oredge-node/conf/or/cert/ca-bundle.crt
cat NEW_ADMIN_CA.crt | sudo tee -a /usr/local/oredge-node/conf/or/cert/ca-bundle.crt
4.2 更新配置
编辑文件:/usr/local/oredge-node/conf/config.ini
,添加以下内容到 log_server
配置块:
mbus_sni=SERVER_NAME
# 示例:
# mbus_sni=my.logserver.com
编辑文件:/usr/local/oredge-node/conf/config.ini
,添加以下内容到 admin
配置块:
ssl_host=SERVER_NAME
# 示例:
# mbus_sni=my.admin.com
4.3 重启服务
sudo systemctl start upgrade-oredge-node
以上是修改 OpenResty Edge 服务器证书的全部步骤。 如果你没有相关证书,也可以参考此文档为 OpenResty Edge 组件生成证书 。