配置 NVSM 安全性

本章说明如何保护 NVSM API 安装。

NVSM 安全性概述

NVSM API 使用 HTTPS 协议提供服务。HTTPS 要求 NVSM API 服务器拥有公私钥对以及证书，以便向连接的客户端出示。证书还需要由证书颁发机构 (CA) 使用该 CA 的私钥进行签名。

为了确保适当的安全性，此证书+密钥应由用户提供。NVIDIA 无法提供，因为

• 私钥应仅用户知晓，而不应为 NVIDIA 所知，并且

• NVIDIA 不是 证书颁发机构

为了使 NVSM 软件堆栈能够开箱即用，安装过程会创建一些示例密钥对和证书。这些证书使用国家、组织、组织单位等的虚拟值创建，因为安装不包含这些详细信息。此外，生成的 CA 证书是自签名的。这些示例证书绝不能在生产环境中使用。

NVSM 允许您提供自己的密钥对和证书，这些密钥对和证书具有正确的值，并由受信任的 CA 正确签名。密钥生成和证书链的详细信息超出了本文档的范围。但是，下面显示了一个示例设置，以展示如何使用客户提供/生成的密钥和证书配置 NVSM。

配置 NVSM 安全性所需条件

要配置 NVSM 安全性，您需要以下内容，可以从 CA 提供商处复制，也可以在本地生成并复制到系统上的某个位置。

• 用于 NVSM REST 服务器的 X.509 证书

  示例路径和文件名： /pki/node1.crt

• 与上述证书对应的私钥文件

  示例路径和文件名： /pki/node1.key

• 颁发上述证书的 CA 的证书

  示例路径和文件名： /pki/ca.crt

由于这些证书和密钥必须符合数据中心的整体安全架构，因此本文档不解释如何生成或获取这些证书和密钥。在最简单的形式中，用户可以使用诸如 OpensSSL 之类的命令来生成自己的证书链和密钥。您可能更喜欢使用诸如 https://letsencrypt.openssl.ac.cn/ 之类的免费服务来获取它们。

如何配置 NVSM 安全性

1. 编辑 NVSM 配置文件以使用您的证书文件和密钥文件的路径和文件名。

   编辑 ca_cert、https_cert 和 https_priv_key 配置参数，以指定 NVSM 应使用的路径和文件名。以下内容使用示例路径和文件名。

   "ca_cert":"/pki/ca.crt",
   

   "https_cert":"/pki/node1.crt",
   

   "https_priv_key":"/pki/node1.key",
   

2. 重启 NVSM 服务。

   $ sudo systemctl restart nvsm