什么要开启https
因为开始password验证要求必须得https。
摘要
trino节点之间可以不用开启SSL,对外访问开启SSL。如果自备证书可以直接配置到trino的config文件,如果没有证书可以使用mkcert生成自签证书(客户端需要信任证书,尤其是java keystore),之前尝试过openssl,keystore,keystore explorer,都不是特别好用,不是生成失败,就是生成的证书需要配合域名使用(需要客户端修改hosts文件,新增域名和IP的解析),所以选择了mkcert,只需要一行命令就可以(可以给多个IP or domain生成证书)。
准备
- mkcert : mkcert地址。根剧系统选择合适的mkcert下载
生成证书
# 如果是linux系统,需要chmod a+x mkcert 赋予执行权限
mkcert domain1 [domain2 [...]]
# 假设需要多个IP使用
mkcert 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4
# 假设需要多个IP or domain使用
mkcert 192.168.1.1 192.168.1.2 trino3.xyz trino4.xyz
# 假设需要多个IP or domain使用,trino1.xyz解析到192.168.1.1,trino2.xyz解析到192.168.1.2
mkcert 192.168.1.1 192.168.1.2 trino1.xyz trino2.xyz trino3.xyz trino4.xyz
# 最后效果是无论使用IP 还是 domain 都能够正常访问
# domain 需要配置 DNS ,DNS 能够解析 domain 指向IP。(或者修改hosts文件)
#查看信任证书存放地址
./mkcert -CAROOT
# 会生成两个.pem文件,一个是证书,一个秘钥:
# * 可以随便定义。
# *.pem后缀的是证书文件,建议改名为*.cer(改完在windows可以直接双击安装,选择信任机构)
# *key.pem后缀的是秘钥文件。建议改名成*.key
# 合并秘钥和证书文件,此处假定 * 为trino。
cat trino.key trino.cer > trino.pem
trino 配置证书文件
修改 config.properties 文件 增加以下内容
# 启用https
http-server.https.enabled=true
# 设置https端口
http-server.https.port=8443
# 设置证书秘钥文件地址(建议三个文件 key,cer,pem 文件放到trino下的tls目录,没有就创建)
# 建议写绝对路径
http-server.https.keystore.path=/trino-server-433/tls/trino.pem
#节点之间不需要使用https通信,在内网部署无需,外网需打开,默认就是false
internal-communication.https.required=false
全部节点都必须要有证书文件,config.properties 可主节点修改,也可全部节点修改。
trino 全部节点重启
# 重启, -v 查看启动信息
bin/launcher restart -v
# 重启完成之后使用 https 访问即可。
信任证书
# 本地信任证书
mkcert --install
# java 信任证书
# -file 证书地址
keytool -import -alias trino -file /tmp/trino.cer \
-keystore $JAVA_HOME/jre/lib/security/cacerts --storepass changeit -v
# 如果只安装了jre的话
keytool -import -alias trino -file /tmp/trino.cer \
-keystore $JAVA_HOME/lib/security/cacerts --storepass changeit -v
# 查看已信任的证书
keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts --storepass changeit -v
keytool -list -keystore $JAVA_HOME/lib/security/cacerts --storepass changeit -v
DataGrip
下载key(秘钥文件),和cer(证书文件)文件配置到此处即可。
Troubleshoot
错误1
连接trino时报错
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:
PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target
解决方案:
检查java是否信任自签证书,确保运行java使用的$JAVA_HOME/lib/security/cacerts中是否有新增加的证书
错误2
连接的时候报错。这是因为证书的里面的SAN设置的有问题。
javax.net.ssl.SSLPeerUnverifiedException: hostname not verified
解决方案:
- 修改hosts文件,新增一个域名到IP的映射
- 使用mkcert。mkcert亲测不会出现问题。
错误3
这是因为 mysql 低版本 不支持设置时区为 Asia/Shanghai
java.sql.SQLNonTransientConnectionException:
Could not create connection to database server. Attempted reconnect 3 times. Giving up.
com.mysql.cj.exceptions.CJException: Unknown or incorrect time zone: 'Asia/Shanghai'
# 使用以下代码验证mysql数据库是否支持设置这种时区
SET SESSION time_zone='Asia/Shanghai'
解决方案
建议百度 mysql Unknown or incorrect time zone: 'Asia/Shanghai'查找解决方案。
