為盡量提升安全性,請驗證在 GemFire TLS 處理常式中正確使用加密套件。

程序

  1. 若要驗證加密套件已啟用,請在每個節點執行下列命令,驗證通訊協定已經啟用:
    1. # grep inter_cluster.supported_cipher_suites /storage/vcops/user/conf/ssl/secure-communications.properties
    or
    2. # grep default.supported_cipher_suites /storage/vcops/user/conf/ssl/secure-communications.properties
    如果命令 1 的結果為空白,則表示 inter_cluster 內容不會直接指定,而是使用可透過命令 2 取得的預設值。
    預期會有下列結果:
    inter_cluster. supported_cipher_suites = 
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, 
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    如果命令 1 的結果為空白,則以下是命令 2 的預期結果。
    default. supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, 
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, 
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 
    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  2. 設定正確的加密套件。
    1. 導覽至管理員使用者介面,其位於URL/admin
    2. 若要讓叢集離線,請按一下離線
    3. 若要設定正確的加密套件,請執行下列命令:
      sed -i "/^[^#]*inter_cluster.supported_cipher_suites/ c\inter_cluster.supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" /storage/vcops/user/conf/ssl/secure-communications.properties
      如果命令 1 的結果為空白,請使用下列命令設定加密套件:
      sed -i "/^[^#]*default.supported_cipher_suites/ c\default.supported_cipher_suites = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256" /storage/vcops/user/conf/ssl/secure-communications.properties
      為每個節點重複這個步驟。
    4. 導覽至管理員使用者介面,其位於URL/admin
    5. 按一下上線