现有CDP-DC集群启用Auto-TLS
级别1(好) - 此级别仅配置浏览器和ClouderaManager之间以及代理和ClouderaManager服务器之间的加密通信。请参阅仅为Cloudera Manager配置TLS加密,然后按照级别1:为Cloudera Manager代理配置TLS加密,以获取说明。 1级加密可以防止对代理和Cloudera Manager之间的通信进行窥探。
级别2(更好) - 此级别包括代理和服务器之间的加密通信,以及代理对Cloudera Manager服务器证书的强大验证。请参阅第2级:由代理配置ClouderaManager服务器的TLS验证。级别2通过验证由Cloudera Manager服务器提供的证书的信任,为代理提供额外的安全级别。
级别3(最佳) - 代理和服务器之间的加密通信。3级TLS包括代理和服务器之间的加密通信,由代理对Cloudera Manager服务器证书进行强大的验证,并使用自签名或CA签名的证书将代理验证到Cloudera Manager服务器。请参阅第3级:将代理的TLS验证配置到Cloudera Manager服务器。级别3解决了不受信任的网络场景,您需要防止群集服务器被主机上运行的不受信任的代理人欺骗。 Cloudera建议您在启用Kerberos身份验证之前,为不受信任的网络环境配置3级TLS加密。这提供了Cloudera Manager服务器和集群中经过验证的代理之间的keytab的安全通信。
/usr/java/jdk1.8.0_232-cloudera/bin/jre/lib/security
export JAVA_HOME=/usr/java/jdk1.8.0_232-cloudera
export PATH=$JAVA_HOME/bin:$PATH
mkdir -p /opt/cloudera/security/x509/ /opt/cloudera/security/jks/
sudo chown -R cloudera-scm:cloudera-scm /opt/cloudera/security/jks
sudo umask 0700
cd /opt/cloudera/security/jks
keytool -genkeypair -alias cmhost -keyalg RSA -keysize 2048 -dname "cn=cm01.example.com, ou=Department,
o=Company, l=City, st=State, c=US" -keypass password -keystore example.jks -storepass password
[root@ip-10-0-0-168 jks]
> o=Cloudera, l=Shanghai, st=Shanghai, c=CN" -keypass cloudera -keystore example.jks -storepass cloudera
Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore example.jks -destkeystore example.jks -deststoretype pkcs12".
[root@ip-10-0-0-168 jks]
export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk
source /etc/profile
sudo cp $JAVA_HOME/jre/lib/security/cacerts $JAVA_HOME/jre/lib/security/jssecacerts
keytool -export -alias cmhost -keystore example.jks -rfc -file selfsigned.cer
[ ]
Enter keystore password:
Certificate stored in file <selfsigned.cer>
Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore example.jks -destkeystore example.jks -deststoretype pkcs12".
[ ]
cp selfsigned.cer /opt/cloudera/security/x509/cmhost.pem
keytool -import -alias cmhost -file /opt/cloudera/security/jks/selfsigned.cer
$JAVA_HOME/jre/lib/security/jssecacerts -storepass changeit
jks]# keytool -import -alias cmhost -file /opt/cloudera/security/jks/selfsigned.cer
Enter keystore password:
new password:
Owner: CN=ap-southeast-1.compute.internal, OU=ipausers, O=Cloudera, L=Shanghai, ST=Shanghai, C=CN
Issuer: CN=ap-southeast-1.compute.internal, OU=ipausers, O=Cloudera, L=Shanghai, ST=Shanghai, C=CN
Serial number: 33f6581e
Valid from: Sun Jul 19 06:07:24 UTC 2020 until: Sat Oct 17 06:07:24 UTC 2020
Certificate fingerprints:
MD5: 41:C5:94:8B:32:D2:95:67:1D:A2:12:75:6E:05:22:E0
SHA1: 8B:BE:F7:7F:75:A0:9B:55:0E:A7:6C:6E:2D:CD:32:CB:79:41:9C:EF
SHA256: 54:ED:FE:C2:FA:89:27:DC:3B:06:27:5C:EA:FB:93:2A:8B:A4:6B:27:4A:6E:13:DF:36:DB:76:E9:DE:33:10:55
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3
Extensions:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 6F C9 8E D3 60 A8 EA 33 BB 44 01 C8 34 5C 14 B1 o...`..3.D..4..
0010: E9 CF 6D 1C ..m.
]
]
Trust this certificate? [no]: yes
Certificate was added to keystore
jks]#
mv /opt/cloudera/security/jks/example.jks /opt/cloudera/security/jks/cmhost-keystore.jks
rm /opt/cloudera/security/jks/selfsigned.cer
systemctl restart cloudera-scm-server
本文分享自微信公众号 - 大数据杂货铺(bigdataGrocery)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Netty组件之Channel注册
前言 本文将分析EventLoopGroup初始化、EventLoop的选择策略以及Channel是如何通过EventLoop注册到Selector上的。 一、EventLoopGroup类图概览 在客户端示例代码中的中实例化了NioEventLoopGroup,接下来分析下该实例化过程。 EventLoopGroup workerGroup = new NioEventLoopGroup();Bootstrap b = new Bootstrap();b.group(workerGroup); 从以下类图结构io.netty.util.concurrent.AbstractEventExecutorGroup分支主要负责多线程任务的处理;io.netty.channel.EventLoopGroup分支主要负责Channel相关的注册。MultithreadEventExecutorGroup与MultithreadEventLoopGroup分别继承和实现了上面AbstractEventExecutorGroup和EventLoopGroup,将其负责的功能进行融合。 二、构造函...
- 下一篇
解读2020 Linux基金会开源人才培养新蓝图 | 开源技术日系列活动
近年来,全球开源产业链已经形成,中国企业对开源技术的接受程度也逐年增高,超八成的企业认可开源技术,国内已经应用了开源技术的企业占比达到 86.7%,开源软件人才已经成为软件企业的核心竞争力。 2020年,Linux基金会将培训落地中国,成立Linux Foundation开源软件大学(官网地址:training.linuxfoundation.cn),而由Linux Foundation开源软件大学主办的开源技术日系列活动期望能通过不同嘉宾、技术大咖的分享,让开发者深入了解开源技术,走进开源的世界。 本次开源技术日将聚焦Linux基金会2020年人才培养新蓝图,以云原生、区块链两个热门行业的人才就业、开发者个人职业发展为切入点,深入剖析2020年开源人才就业环境,热门开源软件的发展现状,并详细介绍Linux基金会的多个热门国际认证。 区块链被纳入新基建范围,众享比特作为Hyperledger培训合作伙伴 (HTP) & Hyperledger认证服务供应商(HCSP)将在本次活动中与大家分享Hyperledger的主要应用途径,考取认证对开发者职业的重要性。 Linux基金会授...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果