文檔編寫目標本文重要介紹如何在現有的CDP-DC集群上啟用TLS。內容概述1) TLS概述2) Level-0:根基TLSSSL部署(在CM server主機長進行)3) Level-1:為集群啟用加密測試環境1) CM和Cloudera Runtime版本為7.1.12) Redhat7.73) 佔有Cloudera Manager的控制員賬號4) 集群未啟用Kerberos和LDAP認證TLS概述底細配置了Kerberos之后,CM會提示有安全隱患,至少需求一級TLS加密。介紹傳輸層安全性(TLS)在ClouderaManager辦事器和代辦之間的通訊中提供加密和地位驗證。 加密可防範通訊偵聽,并且地位驗證有助于防範惡意辦事器或代辦在群會合引起疑問。Cloudera Manager支持三種級其它TLS安全性,三種必要逐級部署。Cloudera強烈建議您在開端部署Cloudera Manager辦事器和代辦採用TLS之前,建置完整性能的CDH群集和Cloudera Manager。
C運彩足球賽事loudera Manager將繼續收取端口7180上的HTTP請願(默認值),但一旦啟用TLS,它將當即將客戶端重定向到端口7183以進行HTTPS連結。一旦部署了3級TLS,假如要增添運行代辦的新主機,則必要手動配置實用于您的平臺的ClouderaManager代辦和守護步驟軟件包,為主機發出新的證書,部署etc cloudera-scm-agentconfig.ini採用SSL TLS,然后使主機聯機。相反,您可以禁用TLS增添主機,部署TLS的新主機,然后從頭啟用恰當的部署。任何一種想法都是有效的,依據您的需求。對于運行代辦的所有主機,Cloudera建議您首要採用Java創造密碼庫,然后採用openSSL導出密碼和證書以供代辦或色相採用。器具概述Java Keytool和OpenSSL是密碼控制器具,可讓您創造TLS SSL所需的安全工件。
除了下面的兩個簡短概述之外,有關更多信息,請參見如何為TLS SSL證書和密碼轉換文件編碼(DER,JKS,PEM)。Java KeytoolOracle Java keytool是Oracle JDK附帶的適用步驟,用于創造和控制加密密碼和證書。在針對Cloudera Manager集群部署TLS SSL的過程中,您將創造私有密碼對、密碼庫、證書簽名請願,并採用此軟件器具創造供集群特定採用的信賴庫,如本指南中各個程序所述。Cloud運彩 國際盤 pttera Manager TLS SSL部署的Java Keytool要求對于採用Java Keytool的任何程序,請確保:• 採用Oracle Java keytool而非OpenJDK之類的器具。
採用從Oracle下載的JDK或Cloudera Manager辦事器主機上此默認路徑中的Cloudera提供的Oracle JDK:usrjavajdk1.8.0_232-clouderabinjrelibsecurity• 所有程序均採用雷同版本的Java keytool。假如主機上安裝了多個JDK,請建置PATH 變量,以便首要調用Oracle JDK,如本例所示:export JAVA_HOME=usrjavajdk1.8.0_232-clouderaexport PATH=$JAVA_HOMEbin$PATH• 在任何調用-keypass 和-storepass兩個選項的號召中,請採用和雷同的密鑰。Cloudera Manager要求密碼及其密碼庫採用雷同的密鑰。OpenSSLOpenSSL是一種開放源代碼加密和TLS SSL器具包,自1999年景立以來已被廣泛採用。
與Java Keytool一樣,OpenSSL許可您創造私鑰,證書請願和密碼庫,并提供用于驗證證書的選項。在RPC客戶端和辦事器通訊時期,Cloudera Manager Agent主機擔任Cloudera Manager Server主機的客戶端。代辦主機、Hue、Impala和其他基于Python的辦事需求PEM形式的密碼和證書(PKCS#8),這即是為什麼以下程序包含有採用此器具轉換一些JKS工件的來由。有關更多信息,請參見如何為TLS SSL證書和密碼轉換文件編碼(DER,JKS,PEM)。如何將自簽名證書用于TLS自簽名證書不利用于生產配置。自簽名證書將在密碼生成過程中創造并儲備在指定的密碼庫中,并且應替代為已簽名證書。採用自簽名證書要求生成和分配證書,并為證書創設顯式信賴。
不過,採用自簽名證書可以輕松獲取用于TLS SSL部署的證書,并且可能實用于非生產或測試建置。有關更多信息,請參閱為 手動部署 加密 。鄙人面的號召中為您的體制替代路徑,文件名,又名和其他示例。1) 創造證書目次:mkdir -p optclouderasecurityx5 optclouderasecurityjks向Cloudera Manager授予對目次的拜訪權限,建置準確的權限,然后更換為目次:sudo chon -R cloudera-scmcloudera-scm optclouderasecurityjkssudo umask 0700cd optclouderasecurityjks2) 生成密碼對和自簽名證書,并採用與密碼庫和storepass雷同的密鑰將所有內容儲備在密碼庫中,如下所示。將當前主機的FQDN用于CN,以避免觸發java.io.IOException HTTPS hostname rong 反常。
用合適您的環境的條目替代OU,O,L,ST和C的值:keytool -genkeypair -alias cmhost -keyalg RSA -keysize 2048 -dname “cn=cm01.example., ou=Department,o=Company, l=City, st=State, c=US” -keypass passord -keystore example.jks -storepass passord[rootip-10-0-0-168 jks]# keytool -genkeypair -alias cmhost -keyalg RSA -keysize 2048 -dname “cn=ap-southeast-1.pute.internal, ou=ipausers, o=Cloudera, l=Shanghai, st=Shanghai, c=CN” -keypass cloudera -keystore example.jks -storepass clouderaWarningThe JKS keystore uses a proprietary format. It is remended to migrate to PKCS12 hich is an industry standard format using “keytool -importkeystore -srckeystore example.jks -destkeystore example.jks -deststoretype pkcs12”.[rootip-10-0-0-168 jks]#3) 將默認的Java信賴庫(cacerts)復制到備用體制信賴庫(jssecacerts):export JAVA_HOME=usrlibjvmjava-1.8.0-openjdksource etcprofilesudo cp $JAVA_HOMEjrelibsecuritycacerts $JAVA_HOMEjrelibsecurityjssecacerts4) 從密碼庫(example.jks)導出證書。keytool -export -alias cmhost -keystore example.jks -rfc -file selfsigned.cer[rootip-10-0-0-168 jks]# keytool -export -alias cmhost -keystore example.jks -rfc -file selfsigned.cerEnter keystore passord Certificate stored in file WarningThe JKS keystore uses a proprietary format. It is remended to migrate to PKCS12 hich is an industry standard format using “keytool -importkeystore -srckeystore example.jks -destkeystore example.jks -deststoretype pkcs12”.[rootip-10-0-0-168 jks]#5) 將自簽名證書(selfsigned.cer)復制到optclouderasecurityx5 目次中。
cp selfsigned.cer optclouderasecurityx5cmhost.pem6) 將公眾密碼導入備用體制信賴庫(jssecacerts),以便在此算計機上採用Java運行的任何歷程都將信賴該密碼。Java信賴庫的默認密鑰為changeit。
不要採用在程序2中為密碼庫創造的密鑰。$ keytool -import -alias cmhost -file optclouderasecurityjk運彩 延長賽有算嗎sselfsigned.cer-keystore $JAVA_HOMEjrelibsecurityjssecacerts -storepass changeit[rootip-10-0-0-168 jks]# keytool -import -alias cmhost -file optclouderasecurityjksselfsigned.cerEnter keystore passord Re-enter ne passordOner CN=ap-southeast-1.pute.internal, OU=ipausers, O=Cloudera, L=Shanghai, ST=Shanghai, C=CNIssuer CN=ap-southeast-1.pute.internal, OU=ipausers, O=Cloudera, L=Shanghai, ST=Shanghai, C=CNSerial number 33f6581eVal from Sun Jul 19 060724 UTC 2024 until Sat Oct 17 060724 UTC 2024Certificate fingerprints MD5 41C5948B32D295671DA212756E0522E0 SHA1 8BBEF77F75AB550EA76C6E2DCD32CB79419CEF SHA256 54EDFEC2FA8927DC3B06275CEAFB932A8BA46B274A6E13DF36DB76E9DE331055Signature algorithm name SHA256ithRSASubject Public Key Algorithm 2048-bit RSA keyVersion 3Extensions#1 ObjectId 2.5.29.14 Criticality=falseSubjectKeyIdentifier [KeyIdentifier [0000 6F C9 8E D3 60 A8 EA 33 BB 44 01 C8 34 5C 14 B1 o…`..3.D..4..0010 E9 CF 6D 1C ..m.]]Trust this certificate? yesCertificate as added to keystore[rootip-10-0-0-168 jks]#主要在群會合的每個主機上重復此過程。
運彩 球員得分比較
7) 重起名密碼庫:mv optclouderasecurityjksexample.jks optclouderasecurityjkscmhost-keystore.jks8) 您還可以刪除證書,由於它已在程序5中復制到相應的路徑。rm optclouderasecurityjksselfsigned.cer9) 自簽名證書建置辦妥。
運彩 讓分和局
CM部署除舊通過CM控制主頁面-控制-安全點擊Enable Auto-TLS,進入Auto-TLS的部署頁面填寫部署信息點擊下一步:依照提示,登岸到Cloudera-Manager server的辦事器上,然后重啟Cloudera Manager Server辦事。systemctl restart cloudera-scm-server待CM Server的辦事重啟后,繼續採用本來的登岸端口登岸,閱讀器會主動跳轉到7183端口。點擊高等點擊繼續前去…鏈接,進入到CM的主頁面從主頁面可以看到,有許多過時部署。
點擊過時部署需求重啟按鈕,進行辦事重啟(集群和CMS辦事都需求重啟)假如有除舊TLS Certificates信息,則點擊Rotate TLS Certificates結算通過Auto-TLS,可以簡樸的發動整個集群的TLS,減少了手工部署的復雜度。
