开启Server端TLS认证

如需开启TLS认证，则BoostIO集群中的所有计算节点均需开启TLS认证。

前提条件

BoostIO已经安装成功，本章节以安装目录“/opt”为例进行描述。准备好TLS认证需要的文件，如表1所示。

表1 开启Server端TLS认证所需文件列表
文件	说明
CA文件	一个自签名的证书，可以签发其它证书。格式为：PEM（*.pem）。
吊销证书列表文件	给出吊销证书列表文件，格式为：PEM（*.crl）。可选，如无吊销证书，可以没有此文件。
Server端的证书	由CA签发的证书，保证在有效期内。格式为：PEM chain（*.pem）。
Server端的证书对应的私钥文件	要与Server端证书对应，安装用户要知道这个私钥文件的口令。格式为：PEM encrypted（*.pem）。
seceasy_encrypt文件	安全加密工具。位于“/opt/boostio/bin”目录下。

操作步骤

以安装用户登录要开启TLS认证的节点。
设置环境变量。
```
export HSECEASY_PATH=/opt/boostio/lib
```
进入security目录。
```
cd /opt/boostio/security
```
创建server目录，建议将新创建的目录权限设置为0600。
```
mkdir server
chmod 0600 server
```
将上述表1中需要的CA文件、Server端证书、Server端的证书对应的私钥文件放置在server目录下。为了安全，建议将权限设置为0400。
图1 证书及私钥文件
生成口令密文文件。
1. 对证书私钥文件的口令进行加密。
```
cd /opt/boostio/security/server
../../bin/seceasy_encrypt --encrypt 1 2
```
2. 输入私钥口令。
```
please input the password to encrypt {私钥口令}
please input the password to encrypt again {私钥口令}
encrypted: {Base64-Encoded-Data}
```
  连续两次输入相同的私钥口令后，工具输出Base64编码后的数据。
3. 保存加密后的口令文件。复制上一步输出的Base64编码数据，保存到一个新文件中作为口令密文文件。为了安全，建议将权限设置为0400。
```
echo "{Base64-Encoded-Data}" > keypass.path
chmod 0400 keypass.path
```
4. 完成加密后会生成根密钥文件，在当前目录下的tools下分别有根密钥ksfa和备份根密钥ksfb两个文件，这两个文件的路径需要在7中使用。
  图2 tools目录结构
修改bio.conf配置文件，打开安全开关，将5中相关证书文件的路径和6中生成的口令密文文件、根密钥文件和备份根密钥文件的路径写入到配置文件中的相应选项。

如果有吊销证书列表文件，也需要将其放到server目录下，并将其路径写入配置文件中的bio.net.tls.ca.crl.path项。

父主题： 开启TLS认证