使 SGD 服务器受到安全保护。
tarantella security enable
tarantella security enable --certfilecfile
[ --keyfilekfile
] [ --rootfilecarootfile
] [ --firewalltraversal on|off ]
使用此命令可保护 SGD 服务器的安全。
以下限制适用于此命令:
仅限于新安装。SGD 安装必须是使用标准连接的全新安装,且从未尝试过配置 SGD 安全连接。
仅限于独立服务器。该 SGD 服务器必须没有与其他 SGD 服务器一起组成阵列。如果该 SGD 服务器是阵列的成员,则在使用此命令之前使该 SGD 服务器脱离阵列。
使用 --certfile
选项可指定要安装的服务器 SSL 证书。证书必须为 Base 64 编码的 PEM 格式,有一个包含 "BEGIN CERTIFICATE"
的标头行,与 OpenSSL 中使用的一样。
如果省略 --certfile
选项,此命令将生成并安装自签名的服务器 SSL 证书。请将自签名的服务器 SSL 证书仅用于测试。
如果将 --certfile
选项和 --keyfile
选项一起使用,SGD 将创建指向所指定的 SSL 证书和密钥文件的符号链接。
如果 SSL 证书是由不支持的 CA 签名的,请使用 --rootfile
选项来安装 CA 证书。此选项还可以将 CA 证书导入 SGD 服务器的 CA 证书信任库。该信任库是 /opt/tarantella/bin/jre/lib/security/cacerts
文件。
使用 --firewalltraversal
选项可以启用或禁用 SGD 服务器的防火墙穿越功能。配置了防火墙穿越的 SGD 服务器不能与 SGD Gateway 一起使用。
tarantella security enable 命令适用于在安全模式下安装的 SGD 服务器。这是默认安装模式。
如果先前已尝试过配置安全设置,则 tarantella security enable 命令无效。该命令将退出并显示错误消息,指明先前已修改过安全设置。
在使用此命令之前,请确保 SGD 服务器已在运行。使用 tarantella status 命令可以显示 SGD 服务器的当前状态。
下表显示了此命令的可用选项。
选项 | 描述 |
---|---|
| 指定包含 SSL 证书的文件的位置。
必须指定 SSL 证书文件的完整路径。 |
|
指定文件位置,该文件包含由 使用此选项可向 SGD 告知已有的私钥。如果是使用第 D.86 节 “tarantella security certrequest”命令来生成 CSR 并获得 SSL 证书,则无需使用此选项。
必须指定密钥文件的完整路径。 |
|
指定包含 CA 根证书的文件的位置。根证书的详细信息将被复制到
必须指定 CA 根证书文件的完整路径。 |
| 配置 SGD 服务器的防火墙穿越功能。 如果不指定此选项,默认会启用防火墙穿越。 |
如果使用此命令来保护 SGD 服务器的安全,则可以使用 tarantella security disable 命令将安全设置恢复为其先前的状态。
有关如何使用此命令保护 SGD 服务器安全的更多详细信息,请参见第 1.5.3 节 “启用安全连接(自动配置)”。
以下示例将对 SGD 服务器进行安全保护,安装指定的 SSL 证书,并使用在通过第 D.86 节 “tarantella security certrequest”命令生成 CSR 时所生成的私钥:
# tarantella security enable \ --certfile /opt/certs/cert
以下示例将对 SGD 服务器进行安全保护,并安装指定的 SSL 证书和私钥。还将安装 CA 根证书,但不使用第 D.86 节 “tarantella security certrequest”命令来生成 CSR。
# tarantella security enable \ --certfile /opt/certs/cert \ --keyfile /opt/keys/key \ --rootfile /tmp/rootcert
以下示例将对 SGD 服务器进行安全保护,并安装自签名 SSL 证书。不对 SGD 服务器启用防火墙穿越。
# tarantella security enable \ --firewalltraversal off