# 数据加密

hstream已经使用TLS支持了客户端和服务端之间的数据加密功能, 在本章节,不会过多介绍TLS的细节, 而是集中在开启TLS所需的一些步骤和配置上。

# 步骤

如果你还没有一个CA,你可以本地创建一个, TLS需要服务端有一个私钥和一个对应签名证书, openssl可以很好地生成key和签证证书, 在那之后,你需要在服务端和客户端配置上对应的生成文件路径。

# 创建CA

创建或选择一个目录,用于存储私钥和证书:

mkdir tls
cd tls
1
2

创建数据库文件和序列号文件:

touch index.txt
echo 1000 > serial
1
2

获取openssl.cnf模板文件(注意:这个模板文件主要是用来测试和开发,请不要直接在生产环境使用

wget https://raw.githubusercontent.com/hstreamdb/hstream/main/conf/openssl.cnf
1

生成CA密钥文件:

openssl genrsa -aes256 -out ca.key.pem 4096
1

生成CA证书文件:

openssl req -config openssl.cnf -key ca.key.pem \
    -new -x509 -days 7300 -sha256 -extensions v3_ca \
    -out ca.cert.pem
1
2
3

# 为服务端创建密钥对和签名证书

这里,我们只为一个服务器生成密钥和证书, 你应该为所有有不同主机名的服务端创建密钥和证书, 或者创建一个在SAN中包含所有主机名(域名或IP地址)的证书。

生成服务端密钥:

openssl genrsa -out server01.key.pem 2048
1

生成一个服务端证书请求, 你输入Common Name时,应该输入正确的主机名(如localhost):

openssl req -config openssl.cnf \
    -key server01.key.pem -new -sha256 -out server01.csr.pem
1
2

generate server certificate with generated CA:

openssl ca -config openssl.cnf -extensions server_cert \
    -days 1000 -notext -md sha256 \
    -in server01.csr.pem -out signed.server01.cert.pem
1
2
3

# 配置服务端和服务端

服务端配置:

# TLS options
#
# enable tls, which requires tls-key-path and tls-cert-path options
enable-tls: true

#
# key file path for tls, can be generated by openssl
tls-key-path: /path/to/the/server01.key.pem

# the signed certificate by CA for the key(tls-key-path)
tls-cert-path: /path/to/the/signed.server01.cert.pem
1
2
3
4
5
6
7
8
9
10
11

客户端示例:

HStreamClient.builder()
  .serviceUrl(serviceUrl)
  // optional, enable tls
  .enableTls()
  .tlsCaPath("/path/to/ca.cert.pem")

  .build()
1
2
3
4
5
6
7