Sdílet prostřednictvím

Nastavení šifrovacího certifikátu a šifrování tajných kódů v clusterech s Linuxem

  • Článek

Tento článek ukazuje, jak nastavit šifrovací certifikát a použít ho k šifrování tajných kódů v clusterech s Linuxem. Informace o clusterech s Windows najdete v tématu Nastavení šifrovacího certifikátu a šifrování tajných kódů v clusterech s Windows.

Získání certifikátu šifrování dat

Certifikát šifrování dat se používá výhradně k šifrování a dešifrování parametrů v Settings.xml služby a proměnných prostředí v ServiceManifest.xml služby. Nepoužívá se k ověřování ani podepisování šifrového textu. Certifikát musí splňovat následující požadavky:

  • Certifikát musí obsahovat privátní klíč.

  • Použití klíče certifikátu musí obsahovat šifrování dat (10) a nesmí obsahovat ověřování serveru ani ověřování klientů.

    K vygenerování požadovaného certifikátu pomocí OpenSSL můžete použít například následující příkazy:

    user@linux:~$ openssl req -newkey rsa:2048 -nodes -keyout TestCert.prv -x509 -days 365 -out TestCert.pem
user@linux:~$ cat TestCert.prv >> TestCert.pem

Instalace certifikátu v clusteru

Certifikát musí být nainstalován na každém uzlu v clusteru v části /var/lib/sfcerts. Uživatelský účet, pod kterým je služba spuštěná (ve výchozím nastavení sfuser), by měl mít přístup pro čtení k nainstalovanému certifikátu (to znamená /var/lib/sfcerts/TestCert.pem pro aktuální příklad).

Šifrování tajných kódů

K šifrování tajného kódu je možné použít následující fragment kódu. Tento fragment kódu pouze šifruje hodnotu; nepodepíše šifrový text. K vytvoření šifrovacího textu tajných hodnot musíte použít stejný certifikát šifrování, který je nainstalovaný ve vašem clusteru.

user@linux:$ echo "Hello World!" > plaintext.txt
user@linux:$ iconv -f ASCII -t UTF-16LE plaintext.txt | tr -d '\n' > plaintext_UTF-16.txt
user@linux:$ openssl smime -encrypt -in plaintext_UTF-16.txt -binary -outform der TestCert.pem | base64 > encrypted.txt

Výsledný výstup řetězce s kódováním base-64 pro encrypted.txt obsahuje tajný šifrový text i informace o certifikátu použitém k šifrování. Jeho platnost můžete ověřit dešifrováním pomocí OpenSSL.

user@linux:$ cat encrypted.txt | base64 -d | openssl smime -decrypt -inform der -inkey TestCert.prv

Další kroky

Zjistěte, jak v aplikaci zadat šifrované tajné kódy.