Với mối đe dọa ngày càng tăng về bảo mật từ những người dùng giả mạo và
/ hoặc máy móc, xác thực dựa trên mật khẩu khơng cịn là phương pháp xác thực đáng tin cậy cho người dùng nữa. Couchbase hiện hỗ trợ việc sử dụng các chứng chỉ x.509 để xác thực các máy khách nhằm đảm bảo rằng chỉ những người dùng được phê duyệt (máy móc hoặc thiết bị đầu cuối) mới được chứng thực. Lưu ý rằng cơ chế xác thực này chỉ có sẵn cho dịch vụ dữ liệu.
Xác thực dựa trên chứng chỉ cung cấp thêm một lớp bảo mật. Nó dựa vào một cơ quan chứng nhận, CA, để xác nhận tính xác thực và cấp giấy chứng nhận. Chứng chỉ bao gồm các thông tin như tên của tổ chức mà nó xác định, ngày hết hạn, tên của CA đã cấp chứng chỉ, chữ ký số của CA đang phát hành, v.v. Thông tin này phục vụ như một lời giới thiệu cho những người dùng biết và tin cậy CA nhưng không biết thực thể được nhận dạng bởi chứng chỉ. Tất cả các phần mềm hỗ trợ chứng chỉ đều duy trì một bộ sưu tập các chứng chỉ CA đáng tin cậy giúp họ xác định những tổ chức phát hành chứng chỉ nào có thể tin cậy. Trong trường hợp CA là một phần của hệ thống phân cấp, phần mềm có thể xác minh rằng chứng chỉ được ký bởi cùng một CA gốc.
2.1. Điều kiện chứng thực
Giấy chứng nhận x.509 là tiêu chuẩn chính thức cho chứng chỉ khố cơng khai và SSL / TLS dựa vào tiêu chuẩn này. Bạn phải sử dụng các chứng chỉ x.509 hợp lệ được tạo và ký bởi cùng một cơ quan chứng nhận gốc (CA). Chứng chỉ x.509 phải ở định dạng PEM.
2.2. Bật tính năng xác thực dựa trên chứng chỉ x.509 trên máy chủ
Bạn có thể bật xác thực dựa trên chứng chỉ trên máy chủ bằng cách sử dụng REST API hoặc CLI.
Cơ chế xác thực này chỉ có sẵn cho dịch vụ dữ liệu và cũng có thể được sử dụng với SDK / clients. Đối với truy vấn và các dịch vụ khác, hãy sử dụng các cơ chế xác thực được hỗ trợ khác.
2.2.1. Using REST API
Enable x.509 certificate authentication on the server. You must set this parameter once per cluster.
curl -X POST --data-binary "state=enable"
http://Administrator:password@localhost:8091/settings/clientCertAuth Chỉ định đường dẫn của chứng chỉ để sử dụng để phân tích cú pháp cho người dùng trên máy chủ.
curl -X POST --data-binary "path=subject.cn" http://Administrator:password@localhost:8091/settings/clientCertAuth Chỉ định tiền tố và dấu phân cách trong biểu thức đường dẫn đó.
curl -X POST --data-binary "delimiter="
http://Administrator:password@localhost:8091/settings/clientCertAuth curl -X
POST --data-binary "prefix="
http://Administrator:password@localhost:8091/settings/clientCertAuth XXXVII
2.2.2. Sử dụng CLI
Sử dụng lệnh couchbase-cli sau:
couchbase-cli ssl-manage <options>
Options Value
--set- disable
client- mandatory
auth-state
--set- subject.cn
client- san.dnsname | san.name
auth-path --set- set_client_auth_prefix client- auth- prefix XXXVIII Options Value
--set- set_client_auth_delimiter client- auth- delimiter --client- auth
Sau khi thiết lập phía máy chủ để xác thực khách hàng, bạn cũng nên chỉ định người dùng cho một số vai trị ở phía máy chủ. Làm như sau:
Tạo người dùng có nguồn xác thực (miền) 'Couchbase'.
Đảm bảo rằng người dùng này là người dùng được quản lý nội bộ với mật khẩu mạnh. Mặc dù mật khẩu không được sử dụng như là một phần của xác thực dựa trên chứng chỉ, nó là cần thiết nếu người dùng đang cố gắng truy cập các tài nguyên thông qua web console.