修改 OpenResty Edge 元件間通訊的伺服器證書

支援版本：22.9.1-19

# 1. 前言

OpenResty Edge 不同角色的元件間通訊都是加密通訊。相關證書會在配置包裡面提供，如果你需要進行修改，可以透過下面的步驟進行修改。

如果你只是想要設定 Edge Admin Web UI 的訪問證書，則替換以下兩個檔案即可，後續的步驟無需進行。

/usr/local/oredge-admin/conf/ssl/ssl.crt
/usr/local/oredge-admin/conf/ssl/ssl.key

# 2. 設定 OpenResty Edge Log Server

Edge Log Server 會監聽 12346 埠，供 Edge Admin 和 Edge Node 訪問。 因此，我們需要替換此埠使用到的伺服器證書。

假設你的證書名稱為：

• NEW_LOG_SERVER.crt：你的 Log Server 證書，pem 格式。
• NEW_LOG_SERVER.key：你的 Log Server 秘鑰。

# 備份
cp /usr/local/oredge-log-server/conf/or/edge_log_server.crt /usr/local/oredge-log-server/conf/or/edge_log_server.crt_bk
cp /usr/local/oredge-log-server/conf/or/edge_log_server.key /usr/local/oredge-log-server/conf/or/edge_log_server.key_bk

# 替換
cp NEW_LOG_SERVER.crt /usr/local/oredge-log-server/conf/or/edge_log_server.crt
cp NEW_LOG_SERVER.key /usr/local/oredge-log-server/conf/or/edge_log_server.key

# 重啟服務
sudo systemctl start upgrade-oredge-log-server

# 3. 設定 OpenResty Edge Admin

Edge Admin 會啟用 12345 埠，供 Edge Node 訪問，同時會訪問 Edge Log Server。 因此我們需要替換 Edge Admin 的伺服器證書已經新增 Edge Log Server 的 CA 證書到信任證書集合中。

# 3.1 更新證書

假設你的證書名稱為：

• NEW_ADMIN.crt：你的 Admin 證書，pem 格式。
• NEW_ADMIN.key：你的 Admin 秘鑰。
• NEW_LOG_SERVER_CA.crt：生成你的 Log Server 證書的 CA。

# 備份
cp /usr/local/oredge-admin/conf/or/edge_admin.crt /usr/local/oredge-admin/conf/or/edge_admin.crt_bk
cp /usr/local/oredge-admin/conf/or/edge_admin.key /usr/local/oredge-admin/conf/or/edge_admin.key_bk

# 替換
cp NEW_ADMIN.crt /usr/local/oredge-admin/conf/or/edge_admin.crt
cp NEW_ADMIN.key /usr/local/oredge-admin/conf/or/edge_admin.key

# 新增信任證書
cat NEW_LOG_SERVER_CA.crt | sudo tee -a /usr/local/oredge-admin/conf/or/ca-bundle.crt

# 3.2 更新配置

編輯檔案：/usr/local/oredge-admin/conf/config.ini，新增以下內容到 “log_server” 配置塊：

mbus_sni=SERVER_NAME

# 示例：
# mbus_sni=my.logserver.com

# 3.3 重啟服務

sudo systemctl start upgrade-oredge-admin

# 4. 設定 OpenResty Edge Node

Edge Node 會主動訪問 Edge Log Server 和 Edge Admin， 因此需要分別把 Edge Log Server 和 Edge Admin 的 CA 證書新增到 Edge Node 的證書信任列表中。

假設你的證書名稱為：

• NEW_LOG_SERVER_CA.crt：生成你的 Log Server 證書的 CA。
• NEW_ADMIN_CA.crt：生成你的 Admin 證書的 CA。

# 4.2 新增信任證書

# 新增信任證書
cat NEW_LOG_SERVER_CA.crt | sudo tee -a /usr/local/oredge-node/conf/or/cert/ca-bundle.crt
cat NEW_ADMIN_CA.crt | sudo tee -a /usr/local/oredge-node/conf/or/cert/ca-bundle.crt

# 4.2 更新配置

編輯檔案：/usr/local/oredge-node/conf/config.ini，新增以下內容到 log_server 配置塊：

mbus_sni=SERVER_NAME

# 示例：
# mbus_sni=my.logserver.com

編輯檔案：/usr/local/oredge-node/conf/config.ini，新增以下內容到 admin 配置塊：

ssl_host=SERVER_NAME

# 示例：
# mbus_sni=my.admin.com

# 4.3 重啟服務

sudo systemctl start upgrade-oredge-node

以上是修改 OpenResty Edge 伺服器證書的全部步驟。 如果你沒有相關證書，也可以參考此文件為 OpenResty Edge 元件生成證書 。