为 ZooKeeper 配置 SSL/TLS

ThingWorx 高可用性 > 安装和配置适用于 ThingWorx HA 的 ZooKeeper > 为 ZooKeeper 配置 SSL/TLS

使用 ThingWorx HA 群集时，可以为 ZooKeeper 配置 SSL 或 TLS：

配置 ZooKeeper

1. 请确保正在运行的 ZooKeeper 版本支持 SSL 或 TLS。

2. 获取您的 SSL 证书和信任存储。

证书的可接受文件扩展名仅有：JKS、PEM 和 PKCS12(p12)。

3. 转至 apache-zookeeper-[version]-bin/conf 并更新或创建 zoo.cfg。

4. 添加以下条目：

dataDir=/<path-to-zookeeper-data>/data
dataLogDir=/<path-to-zookeeper-datalog>/datalog
secureClientPort=2281
tickTime=2000
initLimit=5
syncLimit=2
autopurge.snapRetainCount=3
autopurge.purgeInterval=0
maxClientCnxns=60
admin.enableServer=true
standaloneEnabled=false
quorumListenOnAllIPs=true
sslQuorum=true

要激活 ZooKeeper 节点之间的仲裁，请在 zoo.cfg 文件中设置变量 sslQuorum=true。节点将使用自动生成的 SSL 来保护仲裁。

5. 修改 <path to zookeeper>/bin/zkServer.sh

export SERVER_JVMFLAGS="
-Dzookeeper.serverCnxnFactory=org.apache.zookeeper.server.NettyServerCnxnFactory
-Dzookeeper.ssl.keyStore.location=<path-to-zookeeper-certificates>/zookeeper.p12
-Dzookeeper.ssl.keyStore.password=<certificate-password>
-Dzookeeper.ssl.trustStore.location=<path-to-zookeeper-certificates>/truststore.p12
-Dzookeeper.ssl.trustStore.password=<truststore-password>
-Dzookeeper.ssl.quorum.keyStore.location=<path-to-zookeeper-certificates>/zookeeper.p12
-Dzookeeper.ssl.quorum.keyStore.password=<certificate-password>
-Dzookeeper.ssl.quorum.trustStore.location=<path-to-zookeeper-certificates>/truststore.p12
-Dzookeeper.ssl.quorum.trustStore.password=<truststore-password>
-Dzookeeper.ssl.quorum.hostnameVerification=false

6. 启动 ZooKeeper：

./zkServer.sh start

7. 在日志中，验证配置是否正确：

tail -f apache-zookeeper-3.5.6-bin/logs/<zookeeper-log-file>

配置 ThingWorx

1. 将 ZooKeeper 证书复制到您的实例，或确保其在运行 ThingWorx 的计算机上可用。

2. 修改 platform-settings.json，使得文件末尾包含下列内容作为根元素，且与 PlatformSettingsConfig 属于同一级别。

"ZookeeperSettings": {
"SSLEnabled": "true",
# If SSL is enabled, you must include the following; trust store is optional:
"KeyStorePath": "<path-to-zookeeper-certificates>/zookeeper.p12",
"KeyStorePass": "<certificate-password>",
"TrustStorePath": "<path-to-zookeeper-certificates>/truststore.p12",
"TrustStorePass": "<truststore-password>"
"SASLEnabled": "false",
# If SASL is enabled, you must include the following:
"JaasConfPath": "/tmp1/jaas.conf",
"Krb5ConfPath": "/tmp1/krb5.conf"
}

3. 搜索默认 ZooKeeper 端口 2181，并将其替换为安全端口 2281。

4. 请确保所有 CoordinatorHosts 条目和 address-resolver > connection ports 均已更新，以便与 zoo.cfg 中的 secureClientPort 值相匹配。

配置 Ignite

1. 将 Ignite 证书复制到您的 ThingWorx 实例，或确保其在运行 Ignite 服务器的计算机上可用。

2. 设置 ZOOKEEPER_CONNECTION 环境变量，查找用于启动 Ignite 的 JVM_XOPTS 环境变量，并按如下所示进行更新：

# zookeeper1 represents the host name where zookeeper is available and 2281 the secure port from zoo.cfg
export ZOOKEEPER_CONNECTION=zookeeper1:2281,zookeeper2:2281,zookeeper3:2281
# update the JVM_XOPTS
JVM_XOPTS=-Dzookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty -Dzookeeper.client.secure=true -Dzookeeper.ssl.keyStore.location=<path-to-zookeeper-certificates>/zookeeper.p12 -Dzookeeper.ssl.keyStore.password=<keystore-password> -Dzookeeper.ssl.trustStore.location=<path-to-zookeeper-certificates>/truststore.p12 -Dzookeeper.ssl.trustStore.password=<truststore-password>

配置 Connection Server

1. 将 ZooKeeper 证书复制到您的实例，或确保其在运行 Connection Server 的计算机上可用。

2. 在 Connection Server 配置文件中更新 cx-server.discovery.connectionString 的端口，以使用安全端口。

例如，cx-server.discovery.connectionString = "{zookeeper-host}:2281"。

3. 将下列系统属性添加到 CONNECTION_SERVER_OPTS 环境变量中。

例如：

export CONNECTION_SERVER_OPTS="
-Dzookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty
-Dzookeeper.client.secure=true
-Dzookeeper.ssl.keyStore.location=<path-to-zookeeper-certificates>/zookeeper.p12
-Dzookeeper.ssl.keyStore.password=<keystore-password>
-Dzookeeper.ssl.trustStore.location=<path-to-zookeeper-certificates>/truststore.p12
-Dzookeeper.ssl.trustStore.password=<truststore-password>"

使用 ThingWorx 安全管理工具加密密码

如果希望避免将普通密码插入到 platform-settings.json 文件中，则可以使用安全工具加密 twx-keystore 内的密码。您必须分别使用适用于密钥存储和信任存储密码的 encrypt.zk.keystore.password 和 encrypt.zk.truststore.password 对密码进行加密。

./security-common-cli keystore.conf set encrypt.zk.keystore.password "ptcptc"

然后，更改 platform-settings.json 文件，以使得 ThingWorx 从密钥存储中选择密码：

"KeyStorePass": "encrypt.zk.keystore.password",
"TrustStorePass": "encrypt.zk.truststore.password"

这对您有帮助吗?