Aracılığıyla paylaş

Linux kümelerinde şifreleme sertifikası ayarlama ve gizli dizileri şifreleme

  • Makale

Bu makalede, bir şifreleme sertifikasının nasıl ayarlanacağı ve Linux kümelerindeki gizli dizileri şifrelemek için nasıl kullanılacağı gösterilmektedir. Windows kümeleri için bkz. Windows kümelerinde şifreleme sertifikası ayarlama ve gizli dizileri şifreleme.

Veri şifreleme sertifikası alma

Veri şifreleme sertifikası, bir hizmetin Settings.xml ve bir hizmetin ServiceManifest.xml ortam değişkenlerindekiparametrelerin şifrelenmesi ve şifresinin çözülmesi için kesinlikle kullanılır. Şifreleme metninin kimlik doğrulaması veya imzaları için kullanılmaz. Sertifika aşağıdaki gereksinimleri karşılamalıdır:

  • Sertifika bir özel anahtar içermelidir.

  • Sertifika anahtarı kullanımı Veri Şifrelemesi 'ni (10) içermeli ve Sunucu Kimlik Doğrulaması veya İstemci Kimlik Doğrulaması içermemelidir.

    Örneğin, OpenSSL kullanarak gerekli sertifikayı oluşturmak için aşağıdaki komutlar kullanılabilir:

    user@linux:~$ openssl req -newkey rsa:2048 -nodes -keyout TestCert.prv -x509 -days 365 -out TestCert.pem
user@linux:~$ cat TestCert.prv >> TestCert.pem

Sertifikayı kümenize yükleme

Sertifika, altındaki /var/lib/sfcertskümedeki her düğüme yüklenmelidir. Hizmetin altında çalıştığı kullanıcı hesabının (varsayılan olarak sfuser) yüklü sertifikaya ( /var/lib/sfcerts/TestCert.pem geçerli örnek için) okuma erişimi olmalıdır.

Gizli dizileri şifreleme

Bir gizli diziyi şifrelemek için aşağıdaki kod parçacığı kullanılabilir. Bu kod parçacığı yalnızca değeri şifreler; şifre metnini imzalamaz . Gizli dizi değerleri için şifreleme metni oluşturmak için kümenizde yüklü olan aynı şifreleme sertifikasını kullanmanız gerekir.

user@linux:$ echo "Hello World!" > plaintext.txt
user@linux:$ iconv -f ASCII -t UTF-16LE plaintext.txt | tr -d '\n' > plaintext_UTF-16.txt
user@linux:$ openssl smime -encrypt -in plaintext_UTF-16.txt -binary -outform der TestCert.pem | base64 > encrypted.txt

encrypted.txt için elde edilen base-64 kodlu dize çıkışı, hem gizli şifreleme metnini hem de sertifikayı şifrelemek için kullanılan sertifika hakkındaki bilgileri içerir. OpenSSL ile şifresini çözerek geçerliliğini doğrulayabilirsiniz.

user@linux:$ cat encrypted.txt | base64 -d | openssl smime -decrypt -inform der -inkey TestCert.prv

Sonraki adımlar

Bir uygulamada şifrelenmiş gizli dizileri belirtmeyi öğrenin.