为了在伙伴群集之间进行安全的管理通信,必须对 Sun Cluster Geographic Edition 软件进行配置。这种配置必须是彼此照应的。例如:群集 cluster-paris 中的每个节点必须被配置为信赖群集 cluster-newyork 中的每个节点。
有关群集配置的实例,请参阅《Sun Cluster Geographic Edition 系统管理指南》中的“群集配置示例”。
必须在群集的每一个节点上都为伙伴配置可信赖的主机证书,因为群集中的任何节点都可以容纳 Sun Cluster Geographic Edition 基础结构资源组和用于群集间通信的逻辑主机名。
使用 /usr/j2se/bin/keytool 命令配置可信赖的主机证书。
本步骤引用群集 cluster-paris 中的节点 phys-paris-1 和 phys-paris-2 以及群集 cluster-newyork 中的节点 phys-newyork-1 和 phys-newyork-2。
确保已安装了下列 Network Security Services 软件包:
SUNWpr,4.5.0 版
SUNWprx
SUNWtls,3.9.4 版
SUNWtlsu
在每个群集的一个节点上,即群集 cluster-paris 的节点 phys-paris-1 和群集 cluster-newyork 的节点 phys-newyork-1 上完成以下任务:
以超级用户身份登录到群集的一个节点上。
停止通用代理载体。
# /opt/SUNWcacao/bin/cacaoadm stop |
重新生成 JSSE/NSS 密钥和证书。
该步骤创建一个名为 /etc/opt/SUNWcacao/security/nss/localca/localca.cert 的文件。在读取密钥时,localca.cert 文件用作临时存储。
# /opt/SUNWcacao/bin/cacaoadm create-keys |
要删除本地密钥库中所有的其他密钥,请使用 --force 选项。如果您使用 --force 选项,则在您完成本步骤后,必须重新添加这些密钥。
如果您想避免覆写密钥,则可以使用 --directory 选项在一个不同于默认安全目录的目录中生成该文件。但是,通用代理载体仅使用默认目录中的密钥,因此您需要稍后将生成的密钥添加至默认目录中的该文件。
一旦群集配置完毕,就不要再执行 create-keys --force 命令。否则您先前配置的证书将会丢失。
有关重新生成通用代理载体的密钥和证书的详细信息,请参阅《Sun Cluster System Administration Guide for Solaris OS》中的“How to Configure a New Security Certificate”。
在节点 phys-paris-1 和 phys-newyork-1 之间交换本地证书授权。
将目录切换到节点 phys-paris-1 的证书目录。
phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca |
将证书文件 localca.cert 从节点 phys-paris-1 复制到节点 phys-newyork-1。
该步骤将 localca.cert 文件重命名为 localca.cert.cluster-paris,以提示该文件来自哪个群集。
phys-paris-1# rcp localca.cert \ phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris |
切换到节点 phys-newyork-1 的目标目录(您复制文件的目标位置)。
phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse |
将证书从 localca.cert.cluster-paris 文件导入节点 phys-newyork-1 的本地密钥库。
本步骤将公共密钥从 cluster-paris 群集载入 cluster-newyork 群集的 phys-newyork-1 节点。
要执行该步骤,您必须位于 /etc/opt/SUNWcacao/security/jsse 目录中。
phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \ -file localca.cert.cluster-paris |
keytool 命令中的 truststore 参数,是步骤 b 的复制操作中目标目录下的文件。 -alias 选项指定远程群集(证书在此生成)的名称。
当系统提示您键入密钥库密码时,请键入 trustpass。trustpass 密码是由通用代理载体提供的非保密密码。truststore 参数保留了公共和专用对的公共密钥,因此不需要绝对保密。
在系统询问您是否信赖该证书时,键入 yes。
检验是否已将证书正确地添加到密钥库。
phys-newyork-1# keytool -list -v -keystore truststore |
在节点 phys-newyork-1 和 phys-paris-1 之间交换本地证书授权。
将目录切换到节点 hys-newyork-1 的证书目录。
phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca |
要导入的证书位于名为 localca.cert 的文件中。
将证书文件从节点 phys-newyork-1 复制到节点 phys-paris-1。
该步骤将 localca.cert 重命名为 localca.cert.cluster-newyork,以提示该文件来自哪个群集。
# rcp localca.cert \ phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork |
切换到节点 phys-paris-1 的目标目录(您复制文件的目标位置)。
phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse |
将证书导入节点 phys-paris-1 的本地密钥库。
要执行该步骤,您必须位于 /etc/opt/SUNWcacao/security/jsse 目录中。
phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \ -file localca.cert.cluster-newyork |
keytool 命令中的 truststore 参数,是步骤 b 的复制操作中目标目录下的文件。 -alias 选项指定远程群集(证书在此生成)的名称。
当系统提示您键入密钥库密码时,请键入 trustpass。trustpass 密码是由通用代理载体提供的非保密密码。truststore 参数保留了公共和专用对的公共密钥,因此不需要绝对保密。
在系统询问您是否信赖该证书时,键入 yes。
检验是否已将证书正确地添加到密钥库。
phys-paris-1# keytool -list -v -keystore truststore |
将节点 phys-paris-1 上的 /etc/opt/SUNWcacao/security/ 目录及其所有子目录,复制到群集 cluster-paris 中除该节点以外的所有其他节点的 /etc/opt/SUNWcacao/ 目录下。
phys-paris-2# cd /etc/opt/SUNWcacao phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security . |
将节点 phys-newyork-1 上的 /etc/opt/SUNWcacao/security/ 目录及其所有子目录,复制到群集 cluster-newyork 中除该节点以外的所有其他节点的 /etc/opt/SUNWcacao/ 目录下。
phys-newyork-2# cd /etc/opt/SUNWcacao phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security . |
在所有群集的每个节点上检验是否已正确地添加了证书。
复制安全性目录之后,在一个群集的所有节点上运行 keytool list 命令,您会发现其输出信息中本地和远程密钥的值相同。远程群集的所有节点的密钥值均相同,但是本地和远程标记将会互换。
# cd /etc/opt/SUNWcacao/security/jsse # keytool -list -v -keystore truststore |
重新启动所有群集的每个节点上的通用代理载体。
# /opt/SUNWcacao/bin/cacaoadm start |