修改 OpenResty Edge 组件间通讯的服务器证书

支持版本：22.9.1-19

# 1. 前言

OpenResty Edge 不同角色的组件间通信都是加密通信。相关证书会在配置包里面提供，如果你需要进行修改，可以通过下面的步骤进行修改。

如果你只是想要设置 Edge Admin Web UI 的访问证书，则替换以下两个文件即可，后续的步骤无需进行。

/usr/local/oredge-admin/conf/ssl/ssl.crt
/usr/local/oredge-admin/conf/ssl/ssl.key

# 2. 设置 OpenResty Edge Log Server

Edge Log Server 会监听 12346 端口，供 Edge Admin 和 Edge Node 访问。 因此，我们需要替换此端口使用到的服务器证书。

假设你的证书名称为：

• NEW_LOG_SERVER.crt：你的 Log Server 证书，pem 格式。
• NEW_LOG_SERVER.key：你的 Log Server 秘钥。

# 备份
cp /usr/local/oredge-log-server/conf/or/edge_log_server.crt /usr/local/oredge-log-server/conf/or/edge_log_server.crt_bk
cp /usr/local/oredge-log-server/conf/or/edge_log_server.key /usr/local/oredge-log-server/conf/or/edge_log_server.key_bk

# 替换
cp NEW_LOG_SERVER.crt /usr/local/oredge-log-server/conf/or/edge_log_server.crt
cp NEW_LOG_SERVER.key /usr/local/oredge-log-server/conf/or/edge_log_server.key

# 重启服务
sudo systemctl start upgrade-oredge-log-server

# 3. 设置 OpenResty Edge Admin

Edge Admin 会启用 12345 端口，供 Edge Node 访问，同时会访问 Edge Log Server。 因此我们需要替换 Edge Admin 的服务器证书已经添加 Edge Log Server 的 CA 证书到信任证书集合中。

# 3.1 更新证书

假设你的证书名称为：

• NEW_ADMIN.crt：你的 Admin 证书，pem 格式。
• NEW_ADMIN.key：你的 Admin 秘钥。
• NEW_LOG_SERVER_CA.crt：生成你的 Log Server 证书的 CA。

# 备份
cp /usr/local/oredge-admin/conf/or/edge_admin.crt /usr/local/oredge-admin/conf/or/edge_admin.crt_bk
cp /usr/local/oredge-admin/conf/or/edge_admin.key /usr/local/oredge-admin/conf/or/edge_admin.key_bk

# 替换
cp NEW_ADMIN.crt /usr/local/oredge-admin/conf/or/edge_admin.crt
cp NEW_ADMIN.key /usr/local/oredge-admin/conf/or/edge_admin.key

# 添加信任证书
cat NEW_LOG_SERVER_CA.crt | sudo tee -a /usr/local/oredge-admin/conf/or/ca-bundle.crt

# 3.2 更新配置

编辑文件：/usr/local/oredge-admin/conf/config.ini，添加以下内容到 “log_server” 配置块：

mbus_sni=SERVER_NAME

# 示例：
# mbus_sni=my.logserver.com

# 3.3 重启服务

sudo systemctl start upgrade-oredge-admin

# 4. 设置 OpenResty Edge Node

Edge Node 会主动访问 Edge Log Server 和 Edge Admin， 因此需要分别把 Edge Log Server 和 Edge Admin 的 CA 证书添加到 Edge Node 的证书信任列表中。

假设你的证书名称为：

• NEW_LOG_SERVER_CA.crt：生成你的 Log Server 证书的 CA。
• NEW_ADMIN_CA.crt：生成你的 Admin 证书的 CA。

# 4.2 添加信任证书

# 添加信任证书
cat NEW_LOG_SERVER_CA.crt | sudo tee -a /usr/local/oredge-node/conf/or/cert/ca-bundle.crt
cat NEW_ADMIN_CA.crt | sudo tee -a /usr/local/oredge-node/conf/or/cert/ca-bundle.crt

# 4.2 更新配置

编辑文件：/usr/local/oredge-node/conf/config.ini，添加以下内容到 log_server 配置块：

mbus_sni=SERVER_NAME

# 示例：
# mbus_sni=my.logserver.com

编辑文件：/usr/local/oredge-node/conf/config.ini，添加以下内容到 admin 配置块：

ssl_host=SERVER_NAME

# 示例：
# mbus_sni=my.admin.com

# 4.3 重启服务

sudo systemctl start upgrade-oredge-node

以上是修改 OpenResty Edge 服务器证书的全部步骤。 如果你没有相关证书，也可以参考此文档为 OpenResty Edge 组件生成证书 。