配置 HDFS-配置 https 证书以及 ssl 配置文件|学习笔记

开发者学堂课程【快速掌握 Hadoop 集成 Kerberos 安全技术：配置 HDFS-配置 https 证书以及 ssl 配置文件】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/708/detail/12565

配置 HDFS-配置 https 证书以及 ssl 配置文件

内容介绍：

一、创建 HTTPS 证书

二、配置 ssl-server.xml 和 ssl-client.xml

一、创建 HTTPS 证书

1.在 cdho 上

#1

mkdir /etc/security/cdh.https

创建 HTTPS 的目录，存放在 etc/security /cdh.https 目录下面。

cd /ete/security/cdh.https

cd 到它里面，可以看到目前还是一个空的文件。

#2

openssl req -new -x509 -keyout bd_ca_key -out bd_ca_cert-days 9999 -subj

/C=CN/ST=bei1ing/L=bei1ing/0=test/0U=test/CN=test”(输入密码和确认密码是123456，此命令成功后输出 bd ca kev 和 bd ca_cert 两个文件)

>>>

=rw-r==r-- 1 root root 1294 Sep 26 11:31 bd_ca_cert

-rw-r--r-- 1 root root 1834 Sep 26 11:31 bd_ca_key

进行分段复制，分别执行，运行，会需要输入两次密码再继续运行（密码输入123456就可以）

这是会发现文件夹得到了两个文件，进去后会发现一个 cdh.https 的目录，再将两个基本文件复制过去。

使用之后看到这个文件夹就得到了两个文件，一个 bd-ca-cert 文件，一个 bd-ca-key 文件，这两个文件是作为最基础的文件，首先在 CD 上一层目录，看到这里面有 cdh.https 的目录，把这个目录来 scp-r 复制到 cdh1: pMd 对应的目录下，在复制到 cdh2: pMd 对应的目录下，把两个基本文件再复制过去，然后再 cd 进去目录里面接着执行。

# 3

将得到的两个文件复制到 cdh1cdh2上

scp-r/etc/security/cdh.httpscdh1:/etc/security/

scp-r/etc/security/cdh.https cdh2:/etc/security/

2.在 cdhocdh1cdh2每个节点上都依次执行以下命令

cd /etc/security/cdh.https

#所有需要输入密码的地方全部输入123456(方便起见，如果你对密码有要求请自行修改)

#1

输入密码和确认密码:123456，此命令成功后输出 kevstore 文件

keytool -keystore keystore -alias localhost -validity 9ggg -genkey-keyalg RSA -keysize 2048 -dname"CN=test, ou=test, O=test. L=beijing, ST=beijing. C=CN”

输入密码统一是123456，输入完成后会发现多出来 keystore 文件

#2

输入密码和确认密码:123456，提示是否信任证书:输入 yes，此命令成功后输出 truststore 文件

keytool -keystore truststore -alias CARoot -import -file bd ca cert

输入完成后会询问是否信任这个证书，信任以后会发现 keystore 已经被更新了，得到了 trust store 文件。

# 3

输入密码和确认密码:123456，此命令成功后输出 cert 文件

keytool -certreg -alias localhost -keystore keystore -file cert

复制粘贴运行，会发现得到了 cert 文件

#4

此命令成功后输出 cert_signed 文件

openss1 x509-reg-CA bd_ca_cert -CAkey bd_ca_key-in cert -out cert_signed -days 9999 -CAcreateserial - passin pass:123456

复制粘贴运行，会发现得到了 cert signed 文件

#5

输入密码和确认密码:123456，是否信任证书，输入 ves，此合令成功后更新 kevstore 文件

keytool -keystore keystore -alias CARoot -import -file bd_ca_cert

输入密码，并且信任证书

# 6

输入密码和确认密码:123456

keytool -keystore keystore -alias localhost -import -file certsigned

最终得到:

-rw-r==r-- 1 root root 1294 Sep 26 11:31 bd_ca_cert

-rw-r--r-- 1 root root 17 Sep 2611:36 bd_ca_cert.srl

-rw-r--r-- 1 root root 1834 Sep 26 11:31 bd_ca_key

-rw-r==r== 1 root root 1081 Sep 26 11:36 cert

-rw-r--r-- 1 root root 1176 Sep26 11:36 certsianed

-rw-r--r-- 1rootroot 4055 Sep 26 11:37kevstore

-rw-r=-r== 1 root root 978 Sep 26 11:35 truststore

最终会得到7个这样文件。

这一步执行完之后，同样需要进入 cdh1来去接着执行刚刚那些操作，进来后现在只有这两个最基本的文件，把这一套流程再来一遍，同样得到了7个文件。

接下来同样需要进入 cdh2来执行，还是需要按照刚开始的流程来操作，同样得到了7个文件。

二、配置 ssl-server.xml 和 ssl-client.xml

刚刚配置到的 https 证书以及设置的密码等等在这里就用上场了

统一 cd 到 bigdata/hadoop-2.6.0-cdh5.14.4/etc/hadoop 下面，

可以看到这里有 ssl-client 还有 ssl-server，但他们都是 example，需要把他们复制出来。

1.ssl-sserver.xml 如下:

<configurations

<property>

<name>ssl.server.truststore.location</names>

<ivalue>/etc/security/cdh.https/truststores/values><description*Truststore to be used byNN and DN. Must be specified.

</description>

</property>

<property>

<name>ssl.servertruststorepassword</name>

<value>:123456c/value>

<descriptian>Optional. Default value is "".

</description>

</property>

<property>

<name>ssl.server.truststore.type</name>

<value>jks</value><description>0ptional. The keystore file format, default value

is "jks".

</description>

</property>

<property>

<name>ssl.server.truststore.reload.interval</name>

<value>10000</value>

<description>

Truststore reload check interval in milliseconds.

Default value is ecee (10 seconds).

<descriptions<

</property>

<property>

<name>ssl.server.keystorelocation</names

<value>/etc/security/cdhhttps/keystores/value><description>Keystore to be used byNN and DN. Must be specified.

</description>

</propertys

<property>

<name>ssl.serverkeystore passwords/name>

<value>123456-/values

<description>Must be specified.

</description>

</property>

<property>

<name>ss1.server.keystore.keypassword-/name>

<value>123456</values

<description> Must be specified.

</descriotion>

<property>

<name>sslserverexcludecipherlist</name><value>TLS ECDHE RSA WETH RC4 128 SHASSL DHE RSA EXPORT WITH DES4B CBC SHA. SSL_RSA_WITH DES_CBC_SHASSLDHERSA_WITH_DES_CBC_SHA

SSL RSA EXPORT WITH RC4 40 MDS SSLRSA EXPORT WITH DES4 CBC SHA

SSLRSA WITH RC4 128 MD5</value><descriptian>Üptional. The weak security cipher suites that you want excluded

from ssL communication.</description>

</property>

</configuration>

配置 server，把后面 example 去掉，进行编辑，将以上代码进行复制，保存（以上就是刚刚创建 https 证书所用的代码,比如 truststores 文件在哪，密码是什么， keystores 的文件在哪里，它的密码是什么，ssl 相关内容）

2、配置 client，同样把后面 example 去掉，同样把配置文件粘贴复制。

3、配置 slaves

这里需要把两个 slaves 文件加进来 cdh1.itcast.cn cdh2itcast.cn

4、将 HDFS 相关配置文件复制到其他节点

scp hadoop-env.sh yarn-env.sh mapred-env.sh core-site.xml hdfs-site.xml ssl-client.xml ssl-server.xml slaves cdh1:/bigdata/hadoop-2.6.0-cdh5.14.4/etc/hadoop/

scp hadoop-env.sh varn-env.sh mapred-env.sh core-site.xml hdfs-site.xml ssl-client.xml ssl-server.xml slaves cdh2:/bigdata/hadoop-2.6.0-cdh5.14.4/etc/hadoop/

直接scp*cdh1:对应的目录下，以上完成之后，所有的节点就已经保存了。