本文只是讲述如何在单节点的smartbimpp服务器上,开启SSL。本文讲述如何在单节点的smartbimpp服务器上,开启SSL。
生成证书
高速缓存库,开启ssl配置,需要生成3个证书,分别是根证书(ca证书),服务端证书(高速缓存库服务端配置使用),客户端证书(clickhouse-client客户端配置使用)。
生成ca证书
服务端生成 CA 私钥,生成 ca.key
...
| 注意 | ||
|---|---|---|
| ||
1、在创建证书请求(CSR)的时候需要,CN字段信息,可以自定义,配置完成后,jdbc连接 url的地址信息,必须是CN字段的值。 2、其他所有字段值,必须保证根证书、服务器端证书、客户端证书三者必须需保持一致,最后的密码可以不配置,直接回车跳过即可。2、其他所有字段值,必须保证根证书、服务器端证书、客户端证书三者必须需保持一致。 |
注意:在创建证书请求(CSR)的时候需要,CN字段信息,是jdbc连接url的地址信息。可以自定义。
证书有效期默认10年,项目上可以根据实际情况自行修改。
| 代码块 | ||
|---|---|---|
| ||
openssl req -newkey rsa:2048 -nodes -subj "/C=CN/ST=GUANGDONG/L=GUANGZHOU/O=SMARTBI/OU=RD/CN=chnode1.smartbi.com.cn" -keyout chnode1.key -out chnode1.csr openssl x509 -req -in chnode1.csr -out chnode1.crt -CA ca.crt -CAkey ca.key -days 3650 -CAcreateserial |
生成客户端证书
创建客户端证书,并且生成客户端私钥。
| 注意 | ||
|---|---|---|
| ||
1、在创建证书请求(CSR)的时候需要,CN字段信息,可以自定义。 2、其他所有字段值,必须保证根证书、服务器端证书、客户端证书三者必须需保持一致。 |
证书有效期默认10年,项目上可以根据实际情况自行修改。
...
| 代码块 | ||
|---|---|---|
| ||
#查看CA证书内容(-text 打印其他所有信息,-noout 不打印证书信息) openssl x509 -in ca.crt -noout -text #查看CA证书内容(-text 打印其他所有信息) openssl x509 -in ca.crt -text #查看Server私钥文件中的私钥信息 openssl rsa -in chnode1.key -text #查看Server证书详细信息(包括公钥) openssl x509 -in chnode1.crt -noout -text #查看Client私钥文件中的私钥信息 openssl rsa -in client1.key -text #查看Client证书详细信息(包括公钥) openssl x509 -in client1.crt -noout -text #检查新生成的服务端证书是否已针对 CA 证书进行验证(通过): openssl verify -CAfile ca.crt chnode1.crt |
其他配置说明,可以查看https://jishuzhan.net/article/1855139748281061377
