Oracle Cloud Infrastructureドキュメント

SSLの無効化

  1. opcユーザーとしてODDクラスタ・ノードの最初のマスター・ノード(mn0)にSSHに接続します。
  2. /home/opc/cloud/flask-microservice/cert_util/conf/bds-certs.confファイルを編集します。 
    $ vi /home/opc/cloud/flask-microservice/cert_util/conf/bds-certs.conf
    サンプル・ファイル:
    # Copyright (c) 2021, Oracle and/or its affiliates. All rights reserved.
#
[BDS_CERT_CONFIGS]
#This files defines all the SSL certificate related configurations used in BDS cluster
#Whether custom certificate or not
CUSTOM_CERTIFICATE=false
#Recommended SSL services, Mostly all the customer facing UI services
#Allowed values AMBARI,RANGER,HUE,DATASTUDIO,LIVY
DEFAULT_SSL_SERVICES=AMBARI
#Comma separated service names for enabling SSL, These are the additional components from ambari UI to enable/disable SSL.
#Allowed values ZOOKEEPER,AMS,HDFS,YARN,MAPREDUCE,OOZIE,HBASE,SPARK,HIVE,KAFKA
ADDITIONAL_SSL_SERVICES=NONE
#Whether to restart all the required services after certificate deployment
RESTART_REQUIRED_SERVICES=false
#Certificate validity in days. Mostly used for self signed certificates
CERTIFICATE_VALIDITY=180
#Bits to be used for certificate generation. Mostly used for self signed certificates
CERTIFICATE_BITS=3072
#Algorithm to be used for generating self signed certificate
CERTIFICATE_ALGORITHM=sha256
#Default path to store all the certificate, keys and keystore. Same path will be used for hadoop credential store
CERT_PATH=/etc/security/serverKeys
#Temporary certificate directory. Will be used before applying the certificate
TEMP_CERT_PATH=/etc/security/serverKeys_new
#Initital certificate generation path. Used only when generating self signed certificates
CERT_GEN_FOLDER=/etc/security/serverKeys_cert_gen
#Secure password location. This location will be used only during transaction
CERT_PASS_PATH=/etc/security/certPass
#Whether to take backup when doing certificate renewal. Mostly used for self signed certificates
KEEP_OLD_CERTS=true
#Set this flag incase utility used for older cluster. It will update the keystore path along with other properties
LEGACY_CLUSTER=false
#Set Keystore type
KEYSTORE_TYPE=jks
 
#This is completely owned by oracle. Leave this field unchanged
ORACLE_OWNED_ROOT_CERTIFICATE_NAME=bdsOracleCA.crt
ORACLE_OWNED_ROOT_CERTIFICATE_KEY_NAME=bdsOracleCA.key
 
#Final trust bundle that contains all the trust certificates.
#Including all public ca root certs, oracle owned root certs and customer specified root certs.
#This will be saved in CERT_PATH. Leave this field untouched
TRUST_CERTS_BUNDLE_NAME=oraclerootCA.crt
 
#Root Certificate related details
ROOT_CERT_PATH=/etc/security/serverKeys/bdsOracleCA.crt
 
#Server certificate details
SERVER_CERT_PATH="NONE"
SERVER_CERT_KEY_PATH="NONE"
 
#Support for LDAPS
LDAP_URL=NONE
  3. ADDITIONAL_SSL_SERVICESプロパティを更新し、SSLを無効にするサービスを追加します。サービスのカンマ区切りリストで無効にするサービスを追加することで、必要なサービスに対して一度にSSLを無効にすることをお薦めします。
    ノート

    DEFAULT_SSL_SERVICESプロパティに記載されているサービスのSSLは、無効にできません。
  4. このユーティリティでサービスを再起動する場合は、RESTART_REQUIRED_SERVICESプロパティ値をtrueに更新します。このプロパティのデフォルト値は、falseです。デフォルト値を保持する場合は、Apache Ambariから、影響を受けるすべてのサービスを手動で再起動して、SSLの無効化を完了する必要があります。
  5. 構成ファイルに加えた変更を保存します。
  6. ユーティリティを実行して、SSL証明書を無効にします。ambariPassパラメータを使用しない場合、Ambariパスワードを入力するように求められます。 
    sudo bds_cert_util --disable --ambariPass ambari-password
  7. ユーティリティが完了するまで待機します。
  8. /home/opc/cloud/flask-microservice/logs/bds_cert_util*.logのユーティリティ・ログを確認します。
  9. ユーティリティが正常に実行されると、すべての構成済サービスがHTTP上で実行されます。確認するには、Apache Ambariにサインインし、各構成済サービスのクイックリンクを選択します。