ArangoDB 为SSL配置配置文件

sqyvllje  于 2022-12-09  发布在  Go
关注(0)|答案(2)|浏览(188)

如果在端口8529上运行TLS 1.2,并在/server.pem上使用自签名证书,arangod.conf会是什么样子?当前文档仅列出了启动服务器的参数,但没有列出等效的arangod.conf

[database]
directory = /var/lib/arangodb3

[server]
endpoint = ssl://0.0.0.0:8529
authentication = true
threads = 0
statistics = true
uid = arangodb
enter code here

[scheduler]
threads = 0

[javascript]
startup-directory = /usr/share/arangodb3/js
app-path = /var/lib/arangodb3-apps

[log]
level = info
file = /var/log/arangodb3/arangod.log

[cluster]
data-path = /var/lib/arangodb3/cluster
log-path = /var/log/arangodb3/cluster
arangod-path = @SBINDIR@/arangod@PROGRAM_SUFFIX@
dbserver-config = @SYSCONFDIR@/arangod.conf

[ssl]
keyfile = /server.pem
protocol = 5

当我开始的时候,什么都不管用。
我也尝试过,试图镜像文档,

[ssl]
keyfile = /server.pem /tmp/vocbase
protocol = 5

但还是没有运气。

ldxq2e6h

ldxq2e6h1#

我在Ubuntu 16.04上让SSL在端口8530上运行的步骤如下:

  • 修改/etc/arangodb 3/arangod.conf文件中的命令:endpoint = ssl://0.0.0.0:8530
  • 生成自签名SSL证书,我使用openssl
  • 最后应该得到一个包含server.crtserver.keyserver.pem文件
  • 修改您的/etc/init.d/arangodb 3文件:

找到类似下面的行,大约第50行:
$DAEMON --uid arangodb --gid arangodb --pid-file "$PIDFILE" --temp.path "/var/tmp/arangod" --log.foreground-tty false --supervisor $@
请将其更新为类似以下内容:
$DAEMON --uid arangodb --gid arangodb --pid-file "$PIDFILE" --temp.path "/var/tmp/arangod" --log.foreground-tty false –-ssl.keyfile /etc/arangodb3/server.pem --supervisor $@

  • 重新启动arangodb 3服务以使用新的ssl证书,您现在应该能够通过端口8530进行连接

您可以在端口8529上使用SSL,但我更喜欢使用端口8530,因为这样我就可以阻止8529访问,以确保只有SSL流量到达服务器。
如果您想停止您的Web浏览器抱怨不受信任的SSL证书时,您击中服务器上的8530,只需手动安装证书在您的客户端上,一旦您浏览到该网站。

gudnpqoy

gudnpqoy2#

您可以同时使用文件和cli选项。但请记住,cli选项优先于文件中的选项,如下所述***https:docs.arangodb.com/3.1/Manual/Administration/Configuration/#configuration-files.***
您可以在配置文件中配置SSL端点和协议,并在cli选项中配置密钥文件。

# config.conf
[ssl]
protocol = 5

[server]
endpoint = http+ssl://127.0.0.1:8000

arangod --configuration config.conf --ssl.keyfile /path/to/cert.pem

相关问题