GBase 8a集群SSL配置-集群配置部分,包括正式生成,参数配置部分。
要求
加密功能要求系统中安装openssl库,能够执行openssl命令
生成密钥
在集群server端系统中,根据需要选择生成ssl密钥的目录,以路径/usr/local/ssl为例
*如果没有ssl目录,需手工创建
首先生成server端的密钥和证书:
进入目录
$ cd /usr/local/ssl
使用rsa非对称加密算法生成2048位的服务端私钥ca-key.pem
$ openssl genrsa 2048 > ca-key.pem
Generating RSA private key, 2048 bit long modulus
…………………………………………………………………………………..+++
………………………………………………………………………………………………………………….+++
e is 65537 (0x10001)
生成服务端证书ca-cert.pem
需要填写Country Name等信息,本例按照下面方式填写,也可以依据用户实际情况填写,以下是参数说明:
- reg: 该指令用来创建和处理PKCS#10格式的证书以及自签名证书,做Root CA
- -sha1: 证书采用SHA1哈希算法
- -nodes:如果该选项被指定,如果私钥文件已经被创建则不用加密。
- -new:本选项产生一个新的CSR,它会要用户输入创建CSR的一些必须的信息
- -x509:本选项将产生自签名的证书,即Root CA
- -days:指定自签名证书的有效期限。默认为30天。
- -key:证书私钥文件的来源
$ openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem
You are about to be asked to enter information that will be incorporated
into your certificate req