March 2021
Intermediate to advanced
265 pages
6h 50m
Chinese
Content preview from Presto实战
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
安全
|
193
别忘了在更新属性文件后重启工作节点。现在你已经对内部和外部的通信做出了完全的保
护,并可以防止网络上的窃听者从
Presto
截获数据。
一旦一切都已正常工作,记得在
config.properties
中设置
http-server.http.
enabled=false
来禁用
HTTP
;否则,用户仍可以使用
HTTP
连接到集群。
10.4
CA
与自签名证书
当你第一次尝试
Presto
并努力将其配置得更安全时,最容易的方式是使用自签名证书。然
而实践中,你的组织可能不允许使用它,因为在某些情况下它们不是很安全,并且容易受
到攻击。因此,你可以使用由
CA
数字签名的证书。
一旦你创建了
keystore
,
就需要创建一个证书签名请求(
CSR
)以发送给
CA
对
keystore
签
名。
CA
会验证你是否是你说的那个人
,并向你发出由他们签名的证书。然后,该证书被
导入你的
keystore
中,并将提供给客户端来替代之前的自签名证书。
一个有趣的地方与
Java
truststore
的使用有关。
Java
提供了一个默认的
truststore
,其中可
能已经包含了
CA
。在这种情况下
,提交给客户端的证书可以通过默认的
truststore
来验
证,而在这个默认
truststore
不包
含
CA
时就可能很麻烦。或者你的组织可能有自己的内
部
CA
,用于向员工和服务发布组织证书
。因此,即使你使用了
CA
,仍建议你创建自己
的
truststore
,以供
Presto
使用
。不过,此时你可以导入
CA
证书链,而不是
Presto
使用的
实际证书。
证书链
是由两个或多个 ...