إعداد شهادة تشفير وتشفير الأسرار على Linux
توضح هذه المقالة كيفية إعداد شهادة تشفير واستخدامها لتشفير الأسرار على مجموعات Linux. للحصول على Windows مجموعات، راجع إعداد شهادة تشفير وتشفير الأسرار على Windows الكتل.
الحصول على شهادة تشفير بيانات
تُستخدم بيانات شهادة التشفير للتشفير وفك تشفير لـ المعلمات في خدمات Settings.xml ومتغيرات البيئة في خدمات ServiceManifest.xml. لا يُستخدم للمصادقة أو توقيع النص المشفر. يجب أن تلبي الشهادة المتطلبات التالية:
يجب أن تحتوي الشهادة على مفتاح خاص.
يتضمن استخدام مفتاح الشهادة تشفير البيانات (10)، ويجب ألا يتضمن مصادقة الخادم أو مصادقة العميل.
على سبيل المثال، يمكن استخدام الأوامر التالية لإنشاء الشهادة المطلوبة باستخدام OpenSSL:
user@linux:~$ openssl req -newkey rsa:2048 -nodes -keyout TestCert.prv -x509 -days 365 -out TestCert.pem user@linux:~$ cat TestCert.prv >> TestCert.pem
ثبِّت الشهادة في مجموعتك
تثبيت الشهادة على كل عقدة في الكتلة ضمن /var/lib/sfcerts . أن يكون حساب المستخدم الذي يتم تشغيل الخدمة (sfuser بشكل افتراضي) حق الوصول للقراءة إلى الشهادة /var/lib/sfcerts/TestCert.pem المثبتة (أي، للمثال الحالي).
تشفير البيانات السرية
يمكن استخدام القصاصة البرمجية التالية لتشفير البيانات السرية. تقوم القصاصة البرمجية بتشفير القيمة فقط. لا يوقع على نص التشفير. يجب استخدام نفس شهادة التشفير المثبتة في نظام المجموعة لإنتاج نص مشفر للقيم السرية.
user@linux:$ echo "Hello World!" > plaintext.txt
user@linux:$ iconv -f ASCII -t UTF-16LE plaintext.txt | tr -d '\n' > plaintext_UTF-16.txt
user@linux:$ openssl smime -encrypt -in plaintext_UTF-16.txt -binary -outform der TestCert.pem | base64 > encrypted.txt
يحتوي إخراج السلسلة المشفرة base-64 الناتج إلى encrypted.txt على كل من النص المشفر السري بالإضافة إلى معلومات حول الشهادة التي تم استخدامها لتشفيرها. يمكنك التحقق من صلاحيتها عن طريق فك تشفيرها باستخدام OpenSSL.
user@linux:$ cat encrypted.txt | base64 -d | openssl smime -decrypt -inform der -inkey TestCert.prv
الخطوات التالية
تعرّف على كيفية تحديد البيانات السرية المشفرة في أحد التطبيقات.