為了提高訪問寬表引擎的鏈路安全性,您可以啟用SSL(Secure Sockets Layer)加密,並安裝CA認證到所需要的應用服務中。SSL在傳輸層對網路連接進行加密,能提升通訊資料的安全性和完整性,但會增加網路連接回應時間。
開啟和關閉SSL加密會重啟執行個體,在重啟過程中執行個體會出現秒級的串連閃斷,建議您在業務低峰期執行該操作並確保應用具備重連機制。
前提條件
已開通Lindorm寬表引擎,具體操作,請參見建立執行個體。
已安裝Java環境,要求安裝JDK 1.8及以上版本。
背景資訊
SSL是Netscape公司提出的安全保密協議,在瀏覽器和Web伺服器之間構造安全通道來進行資料轉送,採用RC4、MD5、RSA等密碼編譯演算法實現安全通訊。國際互連網工程工作群組(IETF)對SSL 3.0進行了標準化,標準化後更名為安全傳輸層協議(TLS)。由於SSL術語更為常用,因此本文所述SSL加密實際指TLS加密。
注意事項
CA認證的預設有效期間為10年。
關閉SSL加密後,僅支援通過非SSL方式串連。
關閉SSL加密後,原始CA認證會失效,重新開啟SSL加密,您需重新下載配置CA認證,否則無法通過SSL串連。
開啟和關閉SSL加密會重啟執行個體,執行個體會出現秒級的串連閃斷,請在業務低峰期執行該操作並確保應用具備重連機制。
操作步驟
登入Lindorm管理主控台。
在頁面左上方,選擇執行個體所屬的地區。
在实例列表頁,單擊目標執行個體ID或者目標執行個體所在行操作列的管理。
在左側導覽列,單擊宽表引擎。
選擇数据安全頁簽,單擊数据链路SSL。
開啟SSL加密。
開啟当前状态:開關。
在彈出的开启SSL加密對話方塊中,單擊確定。
單擊頁面左下角下 载 CA 证 书。
可選:關閉SSL加密。
關閉当前状态:開關。
在彈出的关闭SSL加密對話方塊中,單擊確定。
匯入CA認證(以Java為例)
您需要將CA認證匯入到Java可信任認證庫中,應用才能通過SSL加密方式訪問Lindorm執行個體。
開啟JDK的安裝目錄,進入
jre/bin目錄。執行以下命令將下載的CA認證匯入到Java可信任認證庫中,匯入處理程序中需要輸入密碼(預設密碼是changeit)。
keytool -import -alias server -keystore cacerts -file /path-to-crt/server.crt參數說明
/path-to-crt/server.crt為CA認證下載後的儲存路徑。樣本
keytool -import -alias server -keystore cacerts -file /root/CA/ld-bp12pc23yfb38****.crt認證匯入成功後,您可以訪問Lindorm執行個體,具體操作,請參見基於HBase非Java API的應用開發。