這篇文章主要為大家展示了“Ceph OpenSSL的示例分析”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“Ceph OpenSSL的示例分析”這篇文章吧。

“只有客戶發(fā)展了，才有我們的生存與發(fā)展！”這是成都創(chuàng)新互聯(lián)的服務(wù)宗旨！把網(wǎng)站當(dāng)作互聯(lián)網(wǎng)產(chǎn)品，產(chǎn)品思維更注重全局思維、需求分析和迭代思維，在網(wǎng)站建設(shè)中就是為了建設(shè)一個(gè)不僅審美在線，而且實(shí)用性極高的網(wǎng)站。創(chuàng)新互聯(lián)對(duì)成都做網(wǎng)站、成都網(wǎng)站制作、網(wǎng)站制作、網(wǎng)站開(kāi)發(fā)、網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站優(yōu)化、網(wǎng)絡(luò)推廣、探索永無(wú)止境。

Ceph OpenSSL

1. SSL介紹

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。Secure Socket Layer，為Netscape所研發(fā)，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密(Encryption)技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過(guò)程中不會(huì)被截取及竊聽(tīng)。一般通用之規(guī)格為40 bit之安全標(biāo)準(zhǔn)，美國(guó)則已推出128 bit之更高安全標(biāo)準(zhǔn)，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。

SSL協(xié)議提供的安全通道有以下三個(gè)特性：

• 機(jī)密性：SSL協(xié)議使用密鑰加密通信數(shù)據(jù)。

• 可靠性：服務(wù)器和客戶都會(huì)被認(rèn)證，客戶的認(rèn)證是可選的。

• 完整性：SSL協(xié)議會(huì)對(duì)傳送的數(shù)據(jù)進(jìn)行完整性檢查。

1.1 ssl證書(shū)分類

SSL證書(shū)依據(jù)功能和品牌不同分類有所不同，但SSL證書(shū)作為國(guó)際通用的產(chǎn)品，最為重要的便是產(chǎn)品兼容性（即證書(shū)根預(yù)埋技術(shù)），因?yàn)樗鉀Q了網(wǎng)民登錄網(wǎng)站的信任問(wèn)題，網(wǎng)民可以通過(guò)SSL證書(shū)輕松識(shí)別網(wǎng)站的真實(shí)身份。SSL證書(shū)分為如下種類：

• 擴(kuò)展驗(yàn)證型(EV)SSL證書(shū)

• 組織驗(yàn)證型(OV)SSL證書(shū)

• 域名驗(yàn)證型（DV）SSL證書(shū)

上述三種證書(shū)存在一些差別，這里進(jìn)行簡(jiǎn)單敘述：

• DV和OV型證書(shū)最大的差別是：DV型證書(shū)不包含企業(yè)名稱信息；而OV型證書(shū)包含企業(yè)名稱信息。

• OV型和EV型證書(shū)，都包含了企業(yè)名稱等信息，但EV證書(shū)因?yàn)槠洳捎昧烁訃?yán)格的認(rèn)證標(biāo)準(zhǔn)，瀏覽器對(duì)EV證書(shū)更加“信任”，當(dāng)瀏覽器訪問(wèn)到EV證書(shū)時(shí)，可以在地址欄顯示出公司名稱，并將地址欄變成綠色。

• 三種SSL證書(shū)的價(jià)格一般按照EV，OV，DV逐個(gè)遞減。

2. HTTPS介紹

HTTPS（Hypertext Transfer Protocol Secure）安全超文本傳輸協(xié)議。它是由Netscape開(kāi)發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上應(yīng)用了Netscape的完全套接字層（SSL）作為HTTP應(yīng)用層的子層。（HTTPS使用端口443，而不是象HTTP那樣使用端口80來(lái)和TCP/IP進(jìn)行通信。）SSL使用40 位關(guān)鍵字作為RC4流加密算法，這對(duì)于商業(yè)信息的加密是合適的。https是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，https的安全基礎(chǔ)是SSL。

3. Civetweb配置SSL

3.1 前提

操作前需要?jiǎng)?chuàng)建桶bucket1，并將權(quán)限設(shè)置成公開(kāi)訪問(wèn)，為了驗(yàn)證的直觀性，建議同時(shí)上傳多個(gè)對(duì)象，如obj1，obj2...并且將對(duì)象的權(quán)限也設(shè)置成公開(kāi)訪問(wèn)，這樣便于后續(xù)采用瀏覽器進(jìn)行訪問(wèn)。

3.2 創(chuàng)建一個(gè)自簽名的認(rèn)證

首先需要利用openssl生成根證書(shū)，以后的服務(wù)器端證書(shū)或者客戶端證書(shū)都用他來(lái)簽發(fā)，可以建立多個(gè)根證書(shū)，就像對(duì)應(yīng)不同的公司一樣。

#生成根證書(shū)的私鑰，參數(shù)des3是加密算法
openssl genrsa -des3 -out server.key 1024
	
#生成服務(wù)器端證書(shū)簽名請(qǐng)求文件（csr文件），利用私鑰生成一個(gè)根證書(shū)的申請(qǐng)，一般證書(shū)的申請(qǐng)格式都是csr。所以私鑰和csr一般需要保存好
openssl req -new -key server.key -out server.csr	

cp server.key server.key.orig

#去除密鑰文件的保護(hù)密碼，每次讀取key文件時(shí)可以不需要口令
openssl rsa -in server.key.orig -out server.key	

#自簽名，有效期10年
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt	

cp server.crt server.pem

cat server.key >> server.pem

注：在做第二步時(shí)，存在common name(CN)選項(xiàng)的設(shè)置，為了與AWS S3的域名訪問(wèn)規(guī)則一致，可以設(shè)置成*.exampletest.com，其他的選項(xiàng)可隨意。

3.3 使用如下軟連接

需要使用軟連接，否則會(huì)出錯(cuò)，可在log文件中查看出錯(cuò)信息。

ln -s /lib64/libssl.so.1.0.1e /usr/lib64/libssl.so
ln -s /lib64/libcrypto.so.1.0.1e /usr/lib64/libcrypto.so

3.4 配置端口信息

這里需要在ceph.conf文件中配置rgw_DNS_name和rgw_frontends兩個(gè)參數(shù)信息。

[client.rgw.rgw1]
host = ceph2
rgw_dns_name = exampletest.com

rgw_frontends = "civetweb port=443s ssl_certificate=/etc/ceph/private/server.pem"

注：在rgw_frontends參數(shù)中需要配置3.1節(jié)中生成的ssl證書(shū)server.pem的路徑。

3.5 加入域名

在rgw實(shí)例所在的主機(jī)的etc/hosts下加入以下域名映射：

192.168.141.142 bucket1.exampletest.com

4. 訪問(wèn)驗(yàn)證

4.1 網(wǎng)頁(yè)通過(guò)https訪問(wèn)域名

在用瀏覽器訪問(wèn)的主機(jī)的hosts文件下添加：

192.168.141.142 bucket1.exampletest.com

下面對(duì)網(wǎng)站的訪問(wèn)以IE瀏覽器為例

1. 無(wú)證書(shū)訪問(wèn)

   瀏覽器中直接輸入網(wǎng)址https://bucket1.exampletest.com，可以正確訪問(wèn)，并且列出桶bucket1中內(nèi)容，但是地址欄會(huì)提示證書(shū)錯(cuò)誤的字樣，這是由于未導(dǎo)入證書(shū)所致。

2. 有證書(shū)訪問(wèn)

   首先導(dǎo)入證書(shū)。

   瀏覽器地址欄輸入網(wǎng)址https://bucket1.exampletest.com 時(shí)會(huì)出現(xiàn)鎖形標(biāo)志，表示安全訪問(wèn)鏈接，并且能夠正確列出桶bucket1中的內(nèi)容。

4.2 通過(guò)sdk訪問(wèn)

為方便測(cè)試，這里的證書(shū)是自簽名的，不是機(jī)構(gòu)頒發(fā)。所以在sdk中需要通過(guò)參數(shù)設(shè)置來(lái)繞過(guò)證書(shū)的檢查。這里以python為例，將與使用http訪問(wèn)方式不同的兩處地方單獨(dú)做了說(shuō)明，如下：

url = 'https://192.168.141.142' 

s3 = boto3.client('s3',
                  verify=False, #只需要將此參數(shù)設(shè)置成False
                  endpoint_url=url,
                  aws_access_key_id=access_key,
                  aws_secret_access_key=secret_key
                  )

通過(guò)上述修改后就可以正常操作。

以上是“Ceph OpenSSL的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！