Documentation Oracle Cloud Infrastructure

désactivation de SSL

  1. Connectez-vous par SSH au premier noeud maître (mn0) de votre noeud du cluster ODH en tant qu'utilisateur opc.
  2. Modifiez le fichier /home/opc/cloud/flask-microservice/cert_util/conf/bds-certs.conf. 
    $ vi /home/opc/cloud/flask-microservice/cert_util/conf/bds-certs.conf
    Exemple de fichier:
    # Copyright (c) 2021, Oracle and/or its affiliates. All rights reserved.
#
[BDS_CERT_CONFIGS]
#This files defines all the SSL certificate related configurations used in BDS cluster
#Whether custom certificate or not
CUSTOM_CERTIFICATE=false
#Recommended SSL services, Mostly all the customer facing UI services
#Allowed values AMBARI,RANGER,HUE,DATASTUDIO,LIVY
DEFAULT_SSL_SERVICES=AMBARI
#Comma separated service names for enabling SSL, These are the additional components from ambari UI to enable/disable SSL.
#Allowed values ZOOKEEPER,AMS,HDFS,YARN,MAPREDUCE,OOZIE,HBASE,SPARK,HIVE,KAFKA
ADDITIONAL_SSL_SERVICES=NONE
#Whether to restart all the required services after certificate deployment
RESTART_REQUIRED_SERVICES=false
#Certificate validity in days. Mostly used for self signed certificates
CERTIFICATE_VALIDITY=180
#Bits to be used for certificate generation. Mostly used for self signed certificates
CERTIFICATE_BITS=3072
#Algorithm to be used for generating self signed certificate
CERTIFICATE_ALGORITHM=sha256
#Default path to store all the certificate, keys and keystore. Same path will be used for hadoop credential store
CERT_PATH=/etc/security/serverKeys
#Temporary certificate directory. Will be used before applying the certificate
TEMP_CERT_PATH=/etc/security/serverKeys_new
#Initital certificate generation path. Used only when generating self signed certificates
CERT_GEN_FOLDER=/etc/security/serverKeys_cert_gen
#Secure password location. This location will be used only during transaction
CERT_PASS_PATH=/etc/security/certPass
#Whether to take backup when doing certificate renewal. Mostly used for self signed certificates
KEEP_OLD_CERTS=true
#Set this flag incase utility used for older cluster. It will update the keystore path along with other properties
LEGACY_CLUSTER=false
#Set Keystore type
KEYSTORE_TYPE=jks
 
#This is completely owned by oracle. Leave this field unchanged
ORACLE_OWNED_ROOT_CERTIFICATE_NAME=bdsOracleCA.crt
ORACLE_OWNED_ROOT_CERTIFICATE_KEY_NAME=bdsOracleCA.key
 
#Final trust bundle that contains all the trust certificates.
#Including all public ca root certs, oracle owned root certs and customer specified root certs.
#This will be saved in CERT_PATH. Leave this field untouched
TRUST_CERTS_BUNDLE_NAME=oraclerootCA.crt
 
#Root Certificate related details
ROOT_CERT_PATH=/etc/security/serverKeys/bdsOracleCA.crt
 
#Server certificate details
SERVER_CERT_PATH="NONE"
SERVER_CERT_KEY_PATH="NONE"
 
#Support for LDAPS
LDAP_URL=NONE
  3. Mettre à jour la propriété ADDITIONAL_SSL_SERVICES et ajouter les services pour lesquels désactiver SSL. Nous vous recommandons de désactiver SSL pour les services requis en une seule fois en ajoutant les services à désactiver dans une liste de services séparés par des virgules.
    Remarque

    Pour les services mentionnés dans la propriété DEFAULT_SSL_SERVICES, SSL ne peut pas être désactivé.
  4. Mettez à jour la valeur de propriété RESTART_REQUIRED_SERVICES vers true si vous voulez que cet utilitaire redémarre les services. La valeur par défaut de cette propriété est false. Si vous conservez la valeur par défaut, vous devez redémarrer manuellement tous les services concernés à partir d'Apache Ambari pour terminer la désactivation de SSL.
  5. Enregistrez les modifications apportées au fichier de configuration.
  6. Exécutez l'utilitaire pour désactiver les certificats SSL. Si vous n'utilisez pas le paramètre ambariPass, vous êtes invité à entrer le mot de passe Ambari. 
    sudo bds_cert_util --disable --ambariPass ambari-password
  7. Attendez la fin de l'utilitaire.
  8. Consultez les journaux de l'utilitaire dans /home/opc/cloud/flask-microservice/logs/bds_cert_util*.log.
  9. Une fois que l'utilitaire a terminé, tous les services configurés sont exécutés sur HTTP. Pour vérifier, connectez-vous à Apache Ambari et sélectionnez les liens rapides sous chacun des services configurés.