為盡量提升安全性,請驗證在 GemFire TLS 處理常式中正確使用加密套件。
程序
- 若要驗證加密套件已啟用,請在每個節點執行下列命令,驗證通訊協定已經啟用:
1. # grep inter_cluster.supported_cipher_suites /storage/vcops/user/conf/ssl/secure-communications.properties or 2. # grep default.supported_cipher_suites /storage/vcops/user/conf/ssl/secure-communications.properties
如果命令 1 的結果為空白,則表示 inter_cluster 內容不會直接指定,而是使用可透過命令 2 取得的預設值。預期會有下列結果:inter_cluster. supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
如果命令 1 的結果為空白,則以下是命令 2 的預期結果。default. supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- 設定正確的加密套件。
- 導覽至管理員使用者介面,其位於URL/admin。
- 若要讓叢集離線,請按一下離線。
- 若要設定正確的加密套件,請執行下列命令:
sed -i "/^[^#]*inter_cluster.supported_cipher_suites/ c\inter_cluster.supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" /storage/vcops/user/conf/ssl/secure-communications.properties
如果命令 1 的結果為空白,請使用下列命令設定加密套件:sed -i "/^[^#]*default.supported_cipher_suites/ c\default.supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" /storage/vcops/user/conf/ssl/secure-communications.properties
為每個節點重複這個步驟。 - 導覽至管理員使用者介面,其位於URL/admin。
- 按一下上線。