中文
注册
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
在线提单
论坛求助
鲲鹏小智

开启Server端TLS认证

如需开启TLS认证,则BoostIO集群中的所有计算节点均需开启TLS认证。

前提条件

BoostIO已经安装成功,本章节以安装目录“/opt”为例进行描述。准备好TLS认证需要的文件,如表1所示。

表1 开启Server端TLS认证所需文件列表

文件

说明

CA文件

一个自签名的证书,可以签发其它证书。格式为:PEM(*.pem)。

吊销证书列表文件

给出吊销证书列表文件,格式为:PEM(*.crl)。可选,如无吊销证书,可以没有此文件。

Server端的证书

由CA签发的证书,保证在有效期内。格式为:PEM chain(*.pem)。

Server端的证书对应的私钥文件

要与Server端证书对应,安装用户要知道这个私钥文件的口令。格式为:PEM encrypted(*.pem)。

seceasy_encrypt文件

安全加密工具。位于“/opt/boostio/bin”目录下。

操作步骤

  1. 以安装用户登录要开启TLS认证的节点。
  2. 设置环境变量。
    export HSECEASY_PATH=/opt/boostio/lib
  3. 进入security目录。
    cd /opt/boostio/security
  4. 创建server目录,建议将新创建的目录权限设置为0600。
    mkdir server
    chmod 0600 server
  5. 将上述表1中需要的CA文件、Server端证书、Server端的证书对应的私钥文件放置在server目录下。为了安全,建议将权限设置为0400。
    图1 证书及私钥文件
  6. 生成口令密文文件。
    1. 对证书私钥文件的口令进行加密。
      cd /opt/boostio/security/server
      ../../bin/seceasy_encrypt --encrypt 1 2
    2. 输入私钥口令。
      please input the password to encrypt {私钥口令}
      please input the password to encrypt again {私钥口令}
      encrypted: {Base64-Encoded-Data}

      连续两次输入相同的私钥口令后,工具输出Base64编码后的数据。

    3. 保存加密后的口令文件。复制上一步输出的Base64编码数据,保存到一个新文件中作为口令密文文件。为了安全,建议将权限设置为0400。
      echo "{Base64-Encoded-Data}" > keypass.path
      chmod 0400 keypass.path
    4. 完成加密后会生成根密钥文件,在当前目录下的tools下分别有根密钥ksfa和备份根密钥ksfb两个文件,这两个文件的路径需要在7中使用。
      图2 tools目录结构
  7. 修改bio.conf配置文件,打开安全开关,将5中相关证书文件的路径和6中生成的口令密文文件、根密钥文件和备份根密钥文件的路径写入到配置文件中的相应选项。

    如果有吊销证书列表文件,也需要将其放到server目录下,并将其路径写入配置文件中的bio.net.tls.ca.crl.path项。