开启Server端TLS认证

如需开启TLS认证，则BoostIO集群中的所有计算节点均需开启TLS认证。
安装部署完成后，需手动删除安装过程中用于集群节点间通信的公钥。
生成加密口令之前建议关闭系统历史记录功能，可在口令生成后再打开该功能。
用户导入的私钥必须进行加密，私钥口令必须使用提供的工具加密，否则会有安全风险。

证书安全要求：
- 需使用业界公认安全可信的非对称加密算法、密钥长度、Hash算法、证书格式等。
- 应处于有效期内。

前提条件

BoostIO已经安装成功，本章节以安装目录“/opt”为例进行描述。准备好TLS认证需要的文件，如表1所示。

表1 开启Server端TLS认证所需文件列表
文件	说明
CA文件	一个自签名的证书，可以签发其它证书。格式为：PEM（*.pem）。
吊销证书列表文件	给出吊销证书列表文件，格式为：PEM（*.crl）。可选，如无吊销证书，可以没有此文件。
Server端的证书	由CA签发的证书，保证在有效期内。格式为：PEM chain（*.pem）。
Server端的证书对应的已加密私钥文件	要与Server端证书对应，server安装用户要知道这个私钥文件的口令。格式为：PEM encrypted（*.pem）。
seceasy_encrypt文件	安全加密工具。位于“/opt/boostio/bin”目录下。

操作步骤

以server安装用户登录要开启TLS认证的节点。
设置环境变量。
1

export HSECEASY_PATH=/opt/boostio/lib
进入security目录。
1

cd /opt/boostio/security
创建server目录，建议将新创建的目录权限设置为0700。
1 2

mkdir server chmod 0700 server
将上述表1中需要的CA文件、Server端证书、Server端的证书对应的私钥文件放置在server目录下。为了安全，建议将权限设置为0400。
图1 证书及私钥文件

生成口令密文文件。

对证书私钥文件的口令进行加密。

          
               cd /opt/boostio/security/server
../../bin/seceasy_encrypt --encrypt 1 2

输入私钥口令。

          
               please input the password to encrypt {私钥口令}
please input the password to encrypt again {私钥口令}
encrypted: {Base64-Encoded-Data}

连续两次输入相同的私钥口令后，工具输出Base64编码后的数据。

保存加密后的口令文件。复制上一步输出的Base64编码数据，保存到一个新文件中作为口令密文文件。为了安全，建议将权限设置为0400。

          
               echo "{Base64-Encoded-Data}" > keypass.path
chmod 0400 keypass.path

完成加密后会生成根密钥文件，在当前目录下的tools下分别有根密钥ksfa和备份根密钥ksfb两个文件，这两个文件的路径需要在7中使用。
图2 tools目录结构

修改bio.conf配置文件，打开安全开关，将5中相关证书文件的路径和6中生成的口令密文文件、根密钥文件和备份根密钥文件的路径写入到配置文件中的相应选项。

如果有吊销证书列表文件，也需要将其放到server目录下，并将其路径写入配置文件中的bio.net.tls.ca.crl.path项。

父主题： 开启TLS认证