将 TLS 证书存储在 Amazon Secrets Manager 中 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

将 TLS 证书存储在 Amazon Secrets Manager 中

安装在 Amazon EMR 集群上的 Ranger 插件和 Ranger 管理服务器必须通过 TLS 进行通信,以确保发送的策略数据和其他信息在被拦截时无法读取。EMR 还要求插件通过提供自己的 TLS 证书并执行双向 TLS 身份验证来对 Ranger Admin 服务器进行身份验证。此设置需要创建四个证书:两对私有和公有 TLS 证书。有关将证书安装到 Ranger Admin 服务器的说明,请参阅设置 Ranger 管理服务器。要完成设置,安装在 EMR 集群上的 Ranger 插件需要两个证书:管理服务器的公有 TLS 证书,以及插件将用于对 Ranger 管理服务器进行身份验证的私有证书。这些 TLS 证书必须在 Amazon Secrets Manager 中并在 EMR 安全配置中提供。

注意

强烈建议(但不是必需)为每个应用程序创建一个证书对,以降低其中一个插件证书遭到破坏时的影响。

注意

您需要在证书过期日期前跟踪和轮换证书。

证书格式

无论是私有插件证书还是公有 Ranger Admin 证书,将证书导入 Amazon Secrets Manager 都是一样的。在导入 TLS 证书之前,必须确认证书采用 509x PEM 格式。

公有证书的示例格式如下:

-----BEGIN CERTIFICATE----- ...Certifcate Body... -----END CERTIFICATE-----

私有证书的示例格式如下:

-----BEGIN PRIVATE KEY----- ...Private Certifcate Body... -----END PRIVATE KEY----- -----BEGIN CERTIFICATE----- ...Trust Certificate Body... -----END CERTIFICATE-----

私有证书还应包含信任证书。

您可以通过运行以下命令验证是否采用的格式是否正确:

openssl x509 -in <PEM FILE> -text

将证书导入到 Amazon Secrets Manager

在 Secrets Manager 中创建 Secret 时,在 secret type (密钥类型) 下选择 Other type of secrets (其他类型密钥) 并将 PEM 编码的证书粘贴到 Plaintext (明文) 字段中,如下所示。


						将证书导入到 Amazon Secrets Manager。