]> git.apps.os.sepia.ceph.com Git - ceph.git/commitdiff
doc/cephadm: document setting up CA signed keys in running cluster
authorAdam King <adking@redhat.com>
Sat, 3 Jun 2023 19:42:19 +0000 (15:42 -0400)
committerAdam King <adking@redhat.com>
Tue, 5 Mar 2024 15:10:47 +0000 (10:10 -0500)
Signed-off-by: Adam King <adking@redhat.com>
(cherry picked from commit 2c837ea9cff44d6199ef68c03307e7ff3104adcf)

doc/cephadm/host-management.rst

index 779c809027624dd4e1066f963a860ff9525fb61c..59d0f6d1767135718af8ff75fb510d5009d81c93 100644 (file)
@@ -502,7 +502,23 @@ There are two ways to customize this configuration for your environment:
    manually distributed to the mgr data directory
    (``/var/lib/ceph/<cluster-fsid>/mgr.<id>`` on the host, visible at
    ``/var/lib/ceph/mgr/ceph-<id>`` from inside the container).
-   
+
+Setting up CA signed keys for the cluster
+-----------------------------------------
+
+Cephadm also supports using CA signed keys for SSH authentication
+across cluster nodes. In this setup, instead of needing a private
+key and public key, we instead need a private key and certificate
+created by signing that private key with a CA key. For more info
+on setting up nodes for authentication using a CA signed key, see
+:ref:`cephadm-bootstrap-ca-signed-keys`. Once you have your private
+key and signed cert, they can be set up for cephadm to use by running:
+
+.. prompt:: bash #
+
+   ceph config-key set mgr/cephadm/ssh_identity_key -i <private-key-file>
+   ceph config-key set mgr/cephadm/ssh_identity_cert -i <signed-cert-file>
+
 .. _cephadm-fqdn:
 
 Fully qualified domain names vs bare host names