作者:振鹭
一、生成https证书
(所用到的openssl和keytool命令都是linux自带的)
配置https证书:
(1)创建目录
[hdfs@hadoop01 hadoop]# mkdir -p /data/ssl/
[hdfs@hadoop01 hadoop]# cd /data/ssl/
(2)执行创建指令
openssl req -new -x509 -keyout bd_ca_key -out bd_ca_cert -days 9999 -subj '/C=CN/ST=beijing/L=beijing/O=test/OU=test/CN=test'
[hdfs@hadoop01 kerberos_https]# openssl req -new -x509 -keyout bd_ca_key -out bd_ca_cert -days 9999 -subj '/C=CN/ST=beijing/L=beijing/O=test/OU=test/CN=test'
Generating a 2048 bit RSA private key
.....................................................................................................+++
.+++
writing new private key to 'bd_ca_key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
[hdfs@hadoop01 kerberos_https]#
[hdfs@hadoop01 kerberos_https]#
# (输入密码和确认密码是123456,此命令成功后输出bd_ca_key和bd_ca_cert两个文件)
[hdfs@hadoop01 kerberos_https]# ll
总用量 8
-rw-r--r-- 1 root root 1294 3月 27 19:36 bd_ca_cert
-rw-r--r-- 1 root root 1834 3月 27 19:36 bd_ca_key
(3)将得到的两个文件复制到其他机器上面
scp -r /opt/security/kerberos_https root@hadoop02 : /opt/security/
(4)在所有节点上都依次执行以下命令:
cd /opt/security/kerberos_https
# 所有需要输入密码的地方全部输入123456(方便起见,如果你对密码有要求请自行修改)
# 1 输入密码和确认密码:123456,此命令成功后输出keystore文件
keytool -keystore keystore -alias localhost -validity 9999 -genkey -keyalg RSA -keysize 2048 -dname "CN=test, OU=test, O=test, L=beijing, ST=beijing, C=CN"
# 2 输入密码和确认密码:123456,提示是否信任证书:输入yes,此命令成功后输出truststore文件
keytool -keystore truststore -alias CARoot -import -file bd_ca_cert
# 3 输入密码和确认密码:123456,此命令成功后输出cert文件
keytool -certreq -alias localhost -keystore keystore -file cert
# 4 此命令成功后输出cert_signed文件
openssl x509 -req -CA bd_ca_cert -CAkey bd_ca_key -in cert -out cert_signed -days 9999 -CAcreateserial -passin pass:123456
# 5 输入密码和确认密码:123456,是否信任证书,输入yes,此命令成功后更新keystore文件
keytool -keystore keystore -alias CARoot -import -file bd_ca_cert
# 6 输入密码和确认密码:123456
keytool -keystore keystore -alias localhost -import -file cert_signed
最终得到:
-rw-r--r-- 1 root root 1294 3月 27 19:36 bd_ca_cert
-rw-r--r-- 1 root root 17 3月 27 19:43 bd_ca_cert.srl
-rw-r--r-- 1 root root 1834 3月 27 19:36 bd_ca_key
-rw-r--r-- 1 root root 1081 3月 27 19:43 cert
-rw-r--r-- 1 root root 1176 3月 27 19:43 cert_signed
-rw-r--r-- 1 root root 4055 3月 27 19:43 keystore
-rw-r--r-- 1 root root 978 3月 27 19:42 truststore
(5)但是由于可能某些场景下需要将证书的文件类型改成jks类型
keystore --> keystore.jks
keytool -importkeystore -srckeystore ./keystore -destkeystore .
truststore --> truststore.jks
cp ./truststore ./truststore.jks
(这是由于上述生成的truststore证书已经是jks格式了)
那么,如何查看生成证书的文件格式呢:
[root@devops-hadoop3-krb-node2 hdfs_ca]# keytool -list -v -keystore ./keystore
输入密钥库口令:
密钥库类型: JKS
密钥库提供方: SUN
您的密钥库包含 2 个条目
别名: caroot
创建日期: 2023-10-7
条目类型: trustedCertEntry
所有者: CN=devops-hadoop3-krb-node1, OU=dtstack, O=dtstack, L=hangzhou, ST=zhejiang, C=CN
发布者: CN=devops-hadoop3-krb-node1, OU=dtstack, O=dtstack, L=hangzhou, ST=zhejiang, C=CN
序列号: f9ed82c1408b00c7
有效期开始日期: Sat Oct 07 15:52:51 CST 2023, 截止日期: Tue Feb 21 15:52:51 CST 2051
证书指纹:
MD5: 15:D6:D6:37:13:8E:22:0D:15:C9:C1:A2:6A:F3:EC:B5
SHA1: 80:23:0B:D9:4C:99:D1:10:2A:60:59:C4:9A:F9:A3:9E:B8:04:AC:87
SHA256: 44:AD:10:20:D0:34:32:62:F9:3C:9C:DF:C4:EA:58:C8:08:BB:50:DD:5A:D8:0F:18:AD:D4:A0:3E:CA:D0:3C:38
签名算法名称: SHA256withRSA
版本: 3
上述生成的https证书存在安全问题,在使用其他客户端使用jdbc来连接trino时,会报错证书的安全问题导致无法连接,因此,可以采用以下的证书生成方式:
- 生成自签名证书和私钥
其中 Common Name 填写主机名:如主机名为 ditto-1,则此处填写 ditto-1,主机名为 ditto-2,则此处填写 ditto-2
kyotom@ditto-2:~/key$ openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
.+.....+.+.........+..+...+....+..+......+.......+...+.....+..........+.....+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.+......+...+..+...+.+..+....+......+...+......+...............+.........+..+...+......+...+.......+...........+.......+.....+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*......+...+...+.....+......+.+..+.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
......+...........+.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*.....+...+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*..+..+...+....+..+.+..+...+....+..........................+.............+......+.....+....+.........+..+.+..+.............+....................+....+.....+....+......+.........+..+.............+......+........+.+............+...............+...+.........+..+....+......+...+......+....................+.........+............+.+.....+...+..................................+..+...+.+..+....+...........+....+........+..........+.................+.+.......................+.+...+......+.....+....+..+...............+..................+..........+..........................+......+.+..............+......+.......+.....+.+.................+.......+...+...+......+......+..+............+.+...+.....+.+.................................+.....+............+..................+...+.......+..................+..+......+.+........+..........+...........+..........+.....................+...........+....+.....+...+..................+...................+......+.....+...+.........+................+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:ZJ
Locality Name (eg, city) []:HZ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:dtstack
Organizational Unit Name (eg, section) []:engine
Common Name (e.g. server FQDN or YOUR name) []:ditto-1/ditto-2
Email Address []:zhenlu@dtstack.com
- 将证书和私钥转换为PKCS12格式
-name 参数填写主机名:如主机名为 ditto-1,则此处填写 ditto-1,主机名为 ditto-2,则此处填写 ditto-2。
此时输入两次密码,为简单起见,密码保持相同,此处均使用 abc123。
kyotom@ditto-2:~/key$ openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx -name "ditto-1"/"ditto-2"
Enter Export Password:
Verifying - Enter Export Password:
- 将证书添加到Trino服务器的密钥库(keystore)中
-alias 参数填写主机名:如主机名为 ditto-1,则此处填写 ditto-1,主机名为 ditto-2,则此处填写 ditto-2。
此时先连续两次要输入生成的 keystore 的密码,此处为了简单我们依旧使用 abc123 作为密码。
然后要输入第二步中的 cert.pfx 证书密码,第 2 步我们使用了 abc123,此处也填写 abc123。
kyotom@ditto-1:~/key$ keytool -importkeystore -srckeystore cert.pfx -destkeystore keystore.jks -srcstoretype PKCS12 -deststoretype JKS -alias "ditto-1"/"ditto-2"
Importing keystore cert.pfx to keystore.jks...
Enter destination keystore password:
Re-enter new password:
Enter source keystore password:
- 生成客户端 truststore 并将 keystore 的证书信息添加到 truststore 中
-srcalias 填写 keystore 的别名,上面我们都是用主机名作为别名,因此这里也是相对应的主机名:如主机名为 ditto-1,则此处填写 ditto-1,主机名为 ditto-2,则此处填写 ditto-2。
-destalias 填写与 srcalias 一致即可。
truststore 的密码为了简单我们依旧使用 abc123 作为密码。
kyotom@ditto-1:~/key$ keytool -importkeystore -srckeystore keystore.jks -destkeystore truststore.jks -srcalias ditto-1/ditto-2 -destalias ditto-1/ditto-2 -srcstoretype JKS -deststoretype JKS
Importing keystore keystore.jks to truststore.jks...
Enter destination keystore password:
Re-enter new password:
Enter source keystore password:
Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore truststore.jks -destkeystore truststore.jks -deststoretype pkcs12".
二、配置trino开启https
(1)在trino的coon节点config_coordinator.properties配置文件里增加配置:
http-server.https.enabled=true
http-server.https.port=8443
http-server.https.keystore.path=/data/kerberos/hdfs_ca/keystore
http-server.https.keystore.key=abc123
http-server.authentication.allow-insecure-over-http=false
#http-server.https.keymanager.password=abc123
#http-server.https.truststore.path=/data/kerberos/hdfs_ca/truststore
#http-server.https.truststore.key=abc123
internal-communication.shared-secret=abc123
http-server.authentication.type=PASSWORD
#为Trino coordinator 启用密码认证类型。必须设置为PASSWORD。
(2)在trino的worker节点config_worker.properties里增加配置:
http-server.https.enabled=true
http-server.https.port=8443
http-server.https.keystore.path=/data/kerberos/hdfs_ca/keystore
http-server.https.keystore.key=abc123
http-server.authentication.allow-insecure-over-http=false
internal-communication.shared-secret=abc123
这样就OK了,然后再重启trino,就可以使用https来访问web页面了。
(注意这时候访问页面的端口已经不是8081了,变成了上面配置的8443)
这样进到web页面时,需要输入账号密码才能进去:
更多技术信息请查看云掣官网https://yunche.pro/?t=yrgw
