使用公共证书颁发机构签名的证书

启用TLS加密 介绍如何使用自签名证书和由私有根证书颁发机构(CA)签名的证书启用TLS。 在本节中,我们介绍如何使用由公开信任的CA签名的证书来启用TLS,例如 Digicert. 或者 让’s Encrypt.

获取签名证书的过程通常涉及生成关键对和证书签名请求(CSR),该请求被提交给CA. 获取签名证书后,必须将其转换为Nuodb支持的格式。 有关组织如何获取签名证书的详细信息,请参阅所选CA的文档。

以下步骤假定CA以PEM格式提供签名证书,我们将这些数据转换为PKCS12文件(KeyStore和TrustStore),即Nuodb管理流程(AP)可以加载。 有关在证书格式之间转换的详细信息,请参阅以下资源:

To use certificates signed by a public CA, you must first set the NuoDB Admin nuoadmin.conf property value requireClientAuth to false. 如果您的域已在运行,则在进行此配置更改后重新启动Nuodb管理流程。

"requireClientAuth": "false",
在重新启动Nuodb管理员之前,此设置不会生效。

从公共证书颁发机构提供证书

在正在获得单个证书的情况下,以下步骤演示如何在共享管理员密钥信任模型下提供密钥库和信任库,而是使用CA签名证书而不是用于所有进程的自签名证书。

Assuming that private key and certificate chain are stored in PEM files named privkey.pem and fullchain.pem respectively, you can create a PKCS12 keystore and truststore for APs as follows:

1.从PEM文件创建密钥库。

openssl pkcs12 -export -name nuoadmin -out nuoadmin.p12 -inkey privkey.pem -in fullchain.pem

您将被要求输入并验证密码。

2.将证书复制到TrustStore。

nuocmd import certificate --keystore nuoadmin.p12 --store-password "$PASSWD" \
    --truststore nuoadmin-truststore.p12 --truststore-password "$PASSWD"

3.对于剩下的步骤,请参阅步骤3到10 生成密钥库和信任库:共享管理员密钥.

privkey.pem and fullchain.pem are the names of the key and certificate file when using CERTBOT. 获得A. 让’s Encrypt certificate.

将密钥库曝光到澳门比分网址进程

如上所述 启用TLS加密, admin certificates were generated using --ca, which adds the basic constraints extension of CA=true to the certificate (see RFC5280 )。 公开信任的CA不提供具有此扩展的证书,这意味着如果使用公开可信CAS获得的证书,则AP不能作为澳门比分网址进程的CA。

如果AP不能充当其管理的澳门比分网址进程的CA,则澳门比分网址进程通过AP使用的相同证书,而不是由其签名的证书。

在NOODB的物理部署中,AP伪造澳门比分网址进程并访问澳门比分网址进程’S标准输入,AP用于安全地通过澳门比分网址处理自己的私钥和证书。 As a result, no configuration changes are necessary to support starting database processes when using admin certificates without the CA=true basic constraints extension.