共計 2975 個字符，預計需要花費 8 分鐘才能閱讀完成。

這篇文章主要為大家展示了“Ceph OpenSSL 的示例分析”，內容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓丸趣 TV 小編帶領大家一起研究并學習一下“Ceph OpenSSL 的示例分析”這篇文章吧。

Ceph OpenSSL1. SSL 介紹

SSL(Secure Sockets Layer 安全套接層), 及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網絡通信提供安全及數據完整性的一種安全協議。TLS 與 SSL 在傳輸層對網絡連接進行加密。Secure Socket Layer，為 Netscape 所研發，用以保障在 Internet 上數據傳輸之安全，利用數據加密 (Encryption) 技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。一般通用之規格為 40 bit 之安全標準，美國則已推出 128 bit 之更高安全標準，但限制出境。只要 3.0 版本以上之 I.E. 或 Netscape 瀏覽器即可支持 SSL。

SSL 協議提供的安全通道有以下三個特性：

機密性：SSL 協議使用密鑰加密通信數據。

可靠性：服務器和客戶都會被認證，客戶的認證是可選的。

完整性：SSL 協議會對傳送的數據進行完整性檢查。

1.1 ssl 證書分類

SSL 證書依據功能和品牌不同分類有所不同，但 SSL 證書作為國際通用的產品，最為重要的便是產品兼容性（即證書根預埋技術），因為他解決了網民登錄網站的信任問題，網民可以通過 SSL 證書輕松識別網站的真實身份。SSL 證書分為如下種類：

擴展驗證型(EV)SSL 證書

組織驗證型(OV)SSL 證書

域名驗證型（DV）SSL 證書

上述三種證書存在一些差別，這里進行簡單敘述：

DV 和 OV 型證書最大的差別是：DV 型證書不包含企業名稱信息；而 OV 型證書包含企業名稱信息。

OV 型和 EV 型證書，都包含了企業名稱等信息，但 EV 證書因為其采用了更加嚴格的認證標準，瀏覽器對 EV 證書更加“信任”，當瀏覽器訪問到 EV 證書時，可以在地址欄顯示出公司名稱，并將地址欄變成綠色。

三種 SSL 證書的價格一般按照 EV，OV，DV 逐個遞減。

2. HTTPS 介紹

HTTPS（Hypertext Transfer Protocol Secure）安全超文本傳輸協議。它是由 Netscape 開發并內置于其瀏覽器中，用于對數據進行壓縮和解壓操作，并返回網絡上傳送回的結果。HTTPS 實際上應用了 Netscape 的完全套接字層（SSL）作為 HTTP 應用層的子層。（HTTPS 使用端口 443，而不是象 HTTP 那樣使用端口 80 來和 TCP/IP 進行通信。）SSL 使用 40 位關鍵字作為 RC4 流加密算法，這對于商業信息的加密是合適的。https 是以安全為目標的 HTTP 通道，簡單講是 HTTP 的安全版。即 HTTP 下加入 SSL 層，https 的安全基礎是 SSL。

3. Civetweb 配置 SSL3.1 前提

操作前需要創建桶 bucket1，并將權限設置成公開訪問，為了驗證的直觀性，建議同時上傳多個對象，如 obj1，obj2… 并且將對象的權限也設置成公開訪問，這樣便于后續采用瀏覽器進行訪問。

3.2 創建一個自簽名的認證

首先需要利用 openssl 生成根證書，以后的服務器端證書或者客戶端證書都用他來簽發，可以建立多個根證書，就像對應不同的公司一樣。

# 生成根證書的私鑰，參數 des3 是加密算法
openssl genrsa -des3 -out server.key 1024
#生成服務器端證書簽名請求文件（csr 文件），利用私鑰生成一個根證書的申請，一般證書的申請格式都是 csr。所以私鑰和 csr 一般需要保存好
openssl req -new -key server.key -out server.csr 
cp server.key server.key.orig
#去除密鑰文件的保護密碼，每次讀取 key 文件時可以不需要口令
openssl rsa -in server.key.orig -out server.key 
#自簽名，有效期 10 年
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt 
cp server.crt server.pem
cat server.key   server.pem

注：在做第二步時，存在 common name(CN)選項的設置，為了與 AWS S3 的域名訪問規則一致，可以設置成 *.exampletest.com，其他的選項可隨意。

3.3 使用如下軟連接

需要使用軟連接，否則會出錯，可在 log 文件中查看出錯信息。

ln -s /lib64/libssl.so.1.0.1e /usr/lib64/libssl.so
ln -s /lib64/libcrypto.so.1.0.1e /usr/lib64/libcrypto.so

3.4 配置端口信息

這里需要在 ceph.conf 文件中配置 rgw_dns_name 和 rgw_frontends 兩個參數信息。

[client.rgw.rgw1]
host = ceph2
rgw_dns_name = exampletest.com
rgw_frontends =  civetweb port=443s ssl_certificate=/etc/ceph/private/server.pem

注：在 rgw_frontends 參數中需要配置 3.1 節中生成的 ssl 證書 server.pem 的路徑。

3.5 加入域名

在 rgw 實例所在的主機的 etc/hosts 下加入以下域名映射：

192.168.141.142 bucket1.exampletest.com

4. 訪問驗證 4.1 網頁通過 https 訪問域名

在用瀏覽器訪問的主機的 hosts 文件下添加：

192.168.141.142 bucket1.exampletest.com

下面對網站的訪問以 IE 瀏覽器為例

無證書訪問

瀏覽器中直接輸入網址 https://bucket1.exampletest.com，可以正確訪問，并且列出桶 bucket1 中內容，但是地址欄會提示證書錯誤的字樣，這是由于未導入證書所致。

有證書訪問

首先導入證書。

瀏覽器地址欄輸入網址 https://bucket1.exampletest.com 時會出現鎖形標志，表示安全訪問鏈接，并且能夠正確列出桶 bucket1 中的內容。

4.2 通過 sdk 訪問

為方便測試，這里的證書是自簽名的，不是機構頒發。所以在 sdk 中需要通過參數設置來繞過證書的檢查。這里以 python 為例，將與使用 http 訪問方式不同的兩處地方單獨做了說明，如下：

url =  https://192.168.141.142  
s3 = boto3.client( s3 ,
 verify=False, # 只需要將此參數設置成 False
 endpoint_url=url,
 aws_access_key_id=access_key,
 aws_secret_access_key=secret_key
 )

通過上述修改后就可以正常操作。

以上是“Ceph OpenSSL 的示例分析”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注丸趣 TV 行業資訊頻道！