00:00
好,我们继续呃,配置我们的这个cur啊呃,那现在我们要做的呢,是配置HDFS使用HTTPS安全传输协议啊,那刚才我们提到了,要想配置HTPS这个传输协议,那我们需要怎么做呢?需要在服务端准备啊一个库,这个库里边呢,需要有什么,需要有那个所谓的一个证书,对吧?啊,那是这样的啊,那刚才我们也提到了啊,在我们呃不需要使用到这个双向认证的时候呢,那实际上我们可以怎么做啊,我们可以把这个trust store,也就是可信证书库和case store,也就是这个服务端的自己的证书库,是不是给它放在同一个地方啊,对吧?啊,这个大家理解一下啊好,那我们现在呢,就放在同一个地方,也是在这儿呢,我们需要先去创建一个库,这个库里边呢,需要存放咱们的一个证书,对吧?好,那现在呢,我们来看一下这个库怎么创建,这个证书怎么获取啊好,那现在我们开始啊,那首先我们在这儿呢,创建这个库的时候呢,我们使用的是是什么呢?诶是一个K拓工具啊这个K拓。
01:00
工具是什么啊,K拓工具呢,其实就是我们这个Java证书啊,这样的一个管理工具啊,OK,它能够使我们自己管理我们这个证书的,呃,这个我呃,它可以使我们自己管理这个公钥和私钥以及相关的证书,刚刚我们提到了,我们说我们这个HTPS它需要啥呀,是不是需要证书,需要公钥私钥啊,对吧?等等等,诶,那我们使用这个K拓就能够得到我们所需要的这些东西啊,是这样的啊,那其实通常情况下,如果我们是一个商业网站,那我要想去使用这个HTPS证书,那我应该怎么获取啊?不是通过这个k to是自己去生成的,而需要怎么做呀,而是需要去我们国际上通用的,或者是指定这个证书机构去申请或者去购买的啊,是这样的啊,这个从哪看啊,你比如咱们随便现在我随便打开一个这个使用HTP协议这样一个网站,比如这个大家看这个这个是什么协议啊,是不是就是HTPS对不对,咱们这新从那也能看出来啊,就是以谷歌浏览器为例,咱们打开这个网址之后呢,如果这儿出现一个锁,那就表明它使用的是啥呀,是HTTPS协议,那有些网站呢,你打开之后,它可能这儿没有一个小锁,它提示的是什么呢?是对,是不安全,那它那它使用的什么协议啊,就是HTTP协议是这样的啊,那你可以点一下这个小锁,点完小锁之后呢,你你注意观察啊,这是不是有一个证书啊,对吧,实际上这个证书就是哪来的。
02:27
这哪来的证书,这个证书就是我们在访问嗨豆和这个官网的时候,是不是它那个服务端给我们发过来的证书啊,对不对,也就哪哪一步发过来的,是不是就这一步,他是不是会给我们返一个证书啊,对吧?OK,那现在呢,我们可以点一下这个证书,看看里边的这个信息,点证书,点完证书之后呢,这里边是不是有这个什么常规啊,完了之后呢?哎,什么详细信息,证书路径等等等等这些咱们不看,咱们看一下这个位置。来大家看一下,那这儿呢,有一个什么这个颁发给对不对,颁发给谁,是颁发给这个阿法奇了呀,对吧,那玩意之后颁发者是谁什么R3对不对啊,那这个是不是就是一个证书的一个颁发机构啊,对吧?啊是这样的啊,那或者说你去访问一个这个,比如说再访问一个百度啊,你这个我这儿应该是有点一下啊,点一下之后呢,这儿是不是也有一个小组啊对不对,那他这儿也有一个证书,那他的证书是谁颁发的呀?啊这个呢是CA机构对不对啊,也是有不同的这个证书颁发机构啊,那你像这些机构去申请或者是购买证书,证书的时候,你觉得怎么做你就付费的啊,这个咱们要理解一下啊,是这样的啊,但是我们这儿是不是就自己用了,对吧,咱就不需要去付费购买或者去申请这些证书了,那咱怎么做呢?就使用Java的这个k two去生成一下啊,这个咱理解一下啊,啊,那这个Java k two如何使用呢?其实很简单,下边有一条命令,咱们把这个命令看一眼啊,来CTRLC我站出来,来之后呢,我放在这个102这台节点执行一下,咱们一起看啊,大家看这。
03:52
命令它执行的是一个什么操作呢?我们看看首先k two完后边呢,是不是指明了一个这个抗杠K对吧?啊,那后边是不是一个这个参数的值,这是一个K,这是一个Y6啊,这个K道指向的应该是一个什么呢?其实就是一个路径啊,那一会儿当我们把这个命令指定完之后呢,诶,这个命令就会在我们指向的这个呃路径下边去产生一个这样的KS文件,这个KS文件其实说白了就是啥呀。
04:20
就是我们前面说的那个存储证书的那个库,能理解吧,这是那个所谓的kiss档啊,二之往后走,那后边呢,这儿是不是还有一个杠Ali对吧?A啥意思,是不是别名的意思对不对?谁的别名啊?就是我们要产生的这个密钥,对的这个别名一会儿大家就能看到啊,然后我走大家看这个位置,这儿呢,有一个杠JK,这个杠JK是什么意思。啊,其实这个,呃,它这个参数其实已经过时了啊,但是也能用啊,它这个新的参数叫什么呢?其实叫做GJAK啊,这个JA,这en其实就是generate产生生成对吧?生成什么生成k pair k pair用密钥,对啊,对吧,因为我们采用的什么加密是非对称加密,是不是应该是有一个公钥,有一个私钥对吧,所以叫做密钥,对啊,是这样的啊,那你用这个呃,JK也没问题啊,OK,那这个简单理解一下,然后往后看后边是啥。
05:15
后边是不是就有一个什么算法啊,对吧,加密算法,那我们使用的什么算法,是不是就是rsa加密算法,那所以说哎,整个命令这些参数咱们都看下来之后,我们应该怎么去理解这个命令啊,很简单,使用k twool去干啥?是不是去生成密钥对啊,对吧?啊,那生成密钥对的时候,我的这个算法是什么呢?是不是RS算法呀,对不对啊,OK,那我生成完这个密钥对的名字叫什么呢?啊,叫阶级这个随便起个名字,你叫张三叫李四都可以无所谓的啊OK,那这个东西我存在什么地方呢?是不是存在这个K道指定的这个文件里边啊,起就这样的一个作用啊,OK,那现在我们直接回车就可以了啊,回车之后呢,它会先让我们输入一个密钥库的口令,这个密钥库指的是谁呀?是不是就是ks star文件对不对,那一会儿我们生成完之后,假如说你还想访问这个库里边的东西,是不是得输密码对吧?那现在我们需要给他诶设置一个密码,那我们随便设一个啊,比如我要写个简单的123456啊,然后回车啊,会长我再出一次,那我就在123456来回车好,那完了之后他就问你的名字和姓质是什么,这块呢,我们可以不填,直接回车就行,那还是不填回车回车回车啊,再回车,再回车,OK,那到这个位置的时候,他是不是问你上边是否正确啊,对吧?那这时候呢,我们需要给它输入一个Y啊,然后回车好,然后大家注意它现在是不是又让我们输入一个阶替的密钥口令啊,那这个阶梯指的是谁?是,就我们刚才诶为这个密钥对给他呃起了一个名字啊对吧,那就是一个密对是不是也有一个口令啊,那完之后后边还有一个提示说,如果诶该密钥的口令与密钥库口令相同,是不是刚才我们说的这个密钥库口令对吧?如果相同直接回车,那我就让他相同,我记一个密码就行了,诶回车好了,那现在呢,我们就已经。
06:56
生成好了,咱们所需要的这个证书和公钥私钥了,OK啊,那生成完之后咱们去哪儿看一下它呢?去哪看呀,很简单,是不是就在我们刚才那个指明的路径里边去看对不对,那咱们现在就进看一下有没有啊,其实这个也在哪,是不是也在那个ETC security下边啊对吧?好,我们去看一下CD到ETC security,然后呢,K tab对吧?然后回车LL,大家来看一下这里边是不是就出现了一个k store文件呀,对吧?那我怎样去查看这里边的内容呢?啊,其实也很简单,我们也是使用这个,诶k to命令,然后后边呢,我们需要指明一个诶k store,然后后边呢,诶再指明咱们这个k store,当然我现在用的是什么路径啊。
07:35
这是相对路径吧,没错吧,然后后边呢,我再来一个杠list list是不是就要查看里边的内容啊,对吧,那现在我们回车,回车之后呢,是不是让我输入一个密钥库口令,那输入我们刚才设置的密码。回车,好,那现在我是不是就查看到了这个密钥库里边的内容,对吧?那可以看一下,他说你的密钥库里边是不是只包含一个条目啊,就是我们刚刚写进来的,大家来看一下这里边有啥,首先这是不是咱们那个所需的证书啊,对吧?那这个是啥?是不是就我们那个阶梯的private key,这是啥?Private key是啥意思?
08:08
Privateity key是不是就是私钥啊,是不是有公钥有私钥对不对?哎,那这就是私钥,那我们前面提到过,说公钥在哪放着,公钥是是在这个证书里边啊,对吧?哎,咱们来看一下这叔说了,说公钥当中,那这个证书当中是包含我们这个非对称加密的公钥的,对吧?就这么一回事儿啊,那在这儿呢,咱们理解一下啊,OK,那现在我们就已经得到了我们所需的证书以及这个密钥,对了啊好,那得到之后呢,我们接下来继续往下进行,咱们需要干啥?诶,咱们需要将这个密钥,呃,文件啊,就是key store这个文件呢?呃,给他的权限以及所有者修改一下啊,因为我们必须得保证我们的hidoop的这些用户是不是也能够访问咱们这个文件啊,对吧,因为这个文件你生成出来之后,你发现它的所有者是不是也是root,所属组也是root啊,那我们给它修改一下,OK,那首先我们改所有者,所有者呢,我们把它的所有者改成root,所有组呢,还是改成hi豆来给他修改一下,来右键粘贴诶回车,然后再往下走,下面这个是干啥呀,是不是修改它的呃权限呀,对吧,也是660来我们给它诶。
09:08
是粘贴修改一下啊,那现在呢,我们就把它的这个所有者和权限改好了啊,改好之后呢,我们继续往下进行啊,那下面咱们需要干啥,我们需要将该证书分发到集群当中的每个节点,那我们现在给他分发一下来右键。来,走你。OK,那现在呢,已经分发完毕了啊,分完之后我们接下来呢,就可以去配置我们这个SSL的相关参数了,这个SSL指的是啥?大家应该知道吧?啊,我们所谓的HTTP是不是就是在H,呃,所谓的HTPS啊,是不是就是在HTTP的基础之上加上一个加密层啊,对吧?这个加密层呢,我们可以用什么呀?可以用SSL去实现,也可以用什么TLS去实现,那咱们用的是谁?就是这个SSL啊,所以咱们需要修改的就是这个文件啊,OK,那这个文件在哪儿呢?就在海豆op的加录下边的ETC的hi度下面,是不是就我们之前呃一直改配置文件的那个路径啊,对吧?那现在呢,我们去找一下这个文件啊来我们先进到hi度102进到o BT Mo掉hi doop,然后呢,ETC开do吧,好,那进来之后这里边其实有一大堆的文件啊,我们好多都没有改过对吧?啊,那现在我们改其中哪个是不是就那个什么SSL server这个文件啊,对吧?那大大家注观察它这个文件的名字,是不是后边有一个example,咱们需要先改名啊,来MV s SL server我们需要把example去掉啊,来这个server把这个example去掉,去掉之后呢,我们打开这个文件SSL,诶,Server好打开,打开之后呢,这里边有很多的参数,其实这些参数相对来都比较简单,大家一会儿一改,你就知道怎么怎么回事了啊,非常简单,我们来看一下都需要改谁来咱们一个掌,那首先我们先看咱们这个文档当中的第一个参数,第一个参数是啥。
10:53
咱们看能不能看懂啊,S SL server点到点location啥意思。
11:00
是不是就咱们那个ks store的位置没没没错吧,啊OK,那ks store的位置是不是就我们刚才那个k store文件的路径啊,对吧,给他配一下就行,然后再往下还有啥。这是啥?是SSL.server点到点pass,这是不是就是那个密钥库的密码,没错吧?哎,来继续往下走,看下边这个是啥。啊,这个是不是那个s SL server.trust store location诶这个trust store是不是就我们刚才提到那个可信证书库对不对,那我们刚才提到说我们现在的可信证书库实际上它是用不到的,对吧?那但是用不到这个参数也得配啊,那是不是它和我们那个case刀使用同一个库文件是不是就可以了啊,所以说那这个也指向我们刚刚生成那个就行,然后再往下啊下面这个是啥?S SL serve.case到点k password这什么。这个能看懂吧,这个是不是我们那个k password呀,K password指的是谁?是不是那个接替的password。没没错吧,接替password是不是跟我密钥库的密码是一样的啊,所以说这儿也是啊,相同的密码就行了,然后再往下看这个,这是谁,这是不是那个什么trust store.passwor呢?那也就是这是谁的密码,是不是那个trust库可信任库的密码啊对吧?诶,OK,那所以说这几个参数其实咱们都能看懂啊好,那接下来呢,我们就把这几个参数呢,逐个的去配置一下,这个呢,咱们就不能复制粘贴,因为这个文文档当中,呃,这个默认这个文件当中呢,是有这些参数呢,我们需要去修改,而不是粘贴,而不而不是这个新增啊来把它找一下,那先改这个,那这个应该是SSL这个serve到点location,那这个应该改成啥?是不是改成这个路径啊,跟自己的保持一致啊来我们粘贴过来,好,这个完了之后,下一个下一个谁了,是不是该这个什么SSL诶这个s pass来对吧,那我们在这呢,也是先搜一下啊来回车好,那找到这个之后呢,它这个密码应该就是123456对吧,这个咱们直接写就行啊好,我们继续往下走,下一个下一个是不是该这个可信。
12:58
出库的路径了呀,对吧,好,我们搜一下来回车找到这个位置应该在这啊来我们把这个参数拿过来,也是ETC这个啊来CTRLC拿过来,来复制过来,好,我们继续往下走,再往下是不是该那个呃,那个密码的库,那个密码的那个那个呃,密钥对的密码呀,对吧?密钥对密码也就是那个k passw2啊,咱们CTRLC拿过来,那这个参数呢,其实就是123456啊,我们搜一下。
13:25
诶,我好像改了一个东西是吧,好,那现在呢,我们再重新呃复制一下来找一下,那这个应该是123456,好没问题,好我们再往下最后一个了啊,最后一个就是它,哎,它也是123456。好,那现在呢,我们给它搜一下拿过来就是在这儿来123456OK啊,那到现在为止呢,我们这五个参数就全部都配好了,其实这五个参数咱们总结一下都配的是啥呀,是不是就是分别是case store的路径和密码对吧?Trust store的路径和密码啊对不对?那当然这两部分内容咱是不是指向的都是一个case导文件呀,对不对?那还有一个是谁啊,就是这个密钥库里边的那个密钥,对的密码吧,对吧?啊,其实一共就是这样的五个参数啊,配完就可以了,那当然配完之后呢,咱们老规矩还得干啥,是不是也得把这个文件给它分发一下呀,对吧?啊,那现在我们XSNC分发一下,呃,分发的是谁?应该是这个SSLSO.xml文件对吧?来分发。
14:24
啊,那截止到现在呢,咱们这个HTTPS安全传输我们就已经配好了啊,那当然配好之后啊,等一会儿我们干啥啊,等一会儿我们去,呃,启动这个HDFS,那咱们在访问这个HDFS的外部页面的时候呢,那大家说这个位置它应该是什么样的呀。啊,就是理论上应该是一个锁对不对啊,但实际上我可以提前告诉大家啊,那一会儿我们生成完之后呢,你会发现此处的仍然提示是啥呀,是不安全啊,为什么仍然是不安全呢?因为啥呀?因为我们自己生成的那个证书是这个咱们这个浏览器信任的这个证书的颁发机构颁发的吗?不是啊,那所以说呢,哎,我们这也会提示不安全,但是呢,不影响我们使用这个大家理解一下就行了啊OK,好,那这就是HTTPS相关的配置,来,我把视频停一下啊。
我来说两句