Certificati TLS - Amazon EMR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Certificati TLS

L'integrazione di Apache Ranger con Amazon EMR richiede che il traffico dai nodi di Amazon EMR al server Admin Ranger sia crittografato utilizzando TLS e che i plug-in Ranger si autentichino al server Apache Ranger utilizzando l'autenticazione TLS reciproca bidirezionale. Il servizio Amazon EMR richiede il certificato pubblico del server Admin Ranger (specificato nell'esempio precedente) e il certificato privato.

Certificati del plug-in Apache Ranger

I certificati TLS pubblici del plug-in Apache Ranger devono essere accessibili al server Admin Apache Ranger per convalidare quando i plug-in si connettono. Esistono tre metodi diversi per eseguire questa operazione.

Metodo 1: Configurazione di un truststore nel server Admin Apache Ranger

Compila le seguenti configurazioni in .xml per configurare un truststore. ranger-admin-site

<property>
    <name>ranger.truststore.file</name>
    <value><LOCATION TO TRUSTSTORE></value>
</property>

<property>
    <name>ranger.truststore.password</name>
    <value><PASSWORD FOR TRUSTSTORE></value>
</property>

Metodo 2: Caricamento del certificato in Java cacerts truststore

Se il tuo server Admin Ranger non specifica un truststore nelle sue opzioni JVM, puoi inserire i certificati pubblici del plug-in nell'archivio cacerts predefinito.

Metodo 3: Creazione di un truststore specificato come parte delle opzioni JVM

In {RANGER_HOME_DIRECTORY}/ews/ranger-admin-services.sh, modifica JAVA_OPTS per includere "-Djavax.net.ssl.trustStore=<TRUSTSTORE_LOCATION>" e "-Djavax.net.ssl.trustStorePassword=<TRUSTSTORE_PASSWORD>". Ad esempio, aggiungi la seguente riga dopo il JAVA_OPTS esistente.

JAVA_OPTS=" ${JAVA_OPTS} -Djavax.net.ssl.trustStore=${RANGER_HOME}/truststore/truststore.jck -Djavax.net.ssl.trustStorePassword=changeit"
Nota

Questa specifica può esporre la password truststore se un utente è in grado di accedere al server Admin Apache Ranger e vedere i processi in esecuzione, ad esempio quando si utilizza il comando ps.

Utilizzo di certificati autofirmati

I certificati autofirmati non sono consigliati come certificati. I certificati autofirmati potrebbero non essere revocati o non essere conformi ai requisiti di sicurezza interni.