D.91. tarantella security enable

使 SGD 服务器受到安全保护。

语法

tarantella security enable
tarantella security enable --certfile cfile
                         [ --keyfile kfile ]
                         [ --rootfile carootfile ]
                         [ --firewalltraversal on|off ]

描述

使用此命令可保护 SGD 服务器的安全。

以下限制适用于此命令:

使用 --certfile 选项可指定要安装的服务器 SSL 证书。证书必须为 Base 64 编码的 PEM 格式,有一个包含 "BEGIN CERTIFICATE" 的标头行,与 OpenSSL 中使用的一样。

如果省略 --certfile 选项,此命令将生成并安装自签名的服务器 SSL 证书。请将自签名的服务器 SSL 证书仅用于测试。

如果将 --certfile 选项和 --keyfile 选项一起使用,SGD 将创建指向所指定的 SSL 证书和密钥文件的符号链接

如果 SSL 证书是由不支持的 CA 签名的,请使用 --rootfile 选项来安装 CA 证书。此选项还可以将 CA 证书导入 SGD 服务器的 CA 证书信任库。该信任库是 /opt/tarantella/bin/jre/lib/security/cacerts 文件。

使用 --firewalltraversal 选项可以启用或禁用 SGD 服务器的防火墙穿越功能。配置了防火墙穿越的 SGD 服务器不能与 SGD Gateway 一起使用。

tarantella security enable 命令适用于在安全模式下安装的 SGD 服务器。这是默认安装模式。

如果先前已尝试过配置安全设置,则 tarantella security enable 命令无效。该命令将退出并显示错误消息,指明先前已修改过安全设置。

在使用此命令之前,请确保 SGD 服务器已在运行。使用 tarantella status 命令可以显示 SGD 服务器的当前状态。

下表显示了此命令的可用选项。

选项

描述

--certfile

指定包含 SSL 证书的文件的位置。

必须指定 SSL 证书文件的完整路径。ttasys 用户必须能够读取此路径。

--keyfile

指定文件位置,该文件包含由 --certfile 指定的 SSL 证书的私钥。

使用此选项可向 SGD 告知已有的私钥。如果是使用第 D.86 节 “tarantella security certrequest”命令来生成 CSR 并获得 SSL 证书,则无需使用此选项。

必须指定密钥文件的完整路径。ttasys 用户必须能够读取此路径。

--rootfile

指定包含 CA 根证书的文件的位置。根证书的详细信息将被复制到 /opt/tarantella/var/tsp 中,用于 SGD 安全服务。

必须指定 CA 根证书文件的完整路径。ttasys 用户必须能够读取此路径。

--firewalltraversal

配置 SGD 服务器的防火墙穿越功能。

如果不指定此选项,默认会启用防火墙穿越。

如果使用此命令来保护 SGD 服务器的安全,则可以使用 tarantella security disable 命令将安全设置恢复为其先前的状态。

有关如何使用此命令保护 SGD 服务器安全的更多详细信息,请参见第 1.5.3 节 “启用安全连接(自动配置)”

示例

以下示例将对 SGD 服务器进行安全保护,安装指定的 SSL 证书,并使用在通过第 D.86 节 “tarantella security certrequest”命令生成 CSR 时所生成的私钥:

# tarantella security enable \
--certfile /opt/certs/cert

以下示例将对 SGD 服务器进行安全保护,并安装指定的 SSL 证书和私钥。还将安装 CA 根证书,但使用第 D.86 节 “tarantella security certrequest”命令来生成 CSR。

# tarantella security enable \
--certfile /opt/certs/cert \
--keyfile /opt/keys/key \
--rootfile /tmp/rootcert

以下示例将对 SGD 服务器进行安全保护,并安装自签名 SSL 证书。不对 SGD 服务器启用防火墙穿越。

# tarantella security enable \
--firewalltraversal off