9.6. Configurer des connexions sécurisées pour PCP redis
Vous pouvez établir des connexions sécurisées entre Performance Co-Pilot (PCP), Grafana et PCP Redis. L'établissement de connexions sécurisées entre ces composants permet d'empêcher les parties non autorisées d'accéder aux données collectées et surveillées ou de les modifier.
Conditions préalables
- PCP est installé. Pour plus d'informations, voir Installation et activation de PCP.
-
Le site
grafana-server
est configuré. Pour plus d'informations, voir Configuration d'un serveur grafana. - PCP redis est installé. Pour plus d'informations, voir Configuration de PCP Redis.
La clé privée du client est stockée dans le fichier
/etc/redis/client.key
. Si vous utilisez un chemin différent, modifiez-le dans les étapes correspondantes de la procédure.Pour plus de détails sur la création d'une clé privée et d'une demande de signature de certificat (CSR), ainsi que sur la manière de demander un certificat à une autorité de certification (AC), consultez la documentation de votre AC.
-
Le certificat client TLS est stocké dans le fichier
/etc/redis/client.crt
. Si vous utilisez un chemin différent, modifiez le chemin dans les étapes correspondantes de la procédure. -
La clé du serveur TLS est stockée dans le fichier
/etc/redis/redis.key
. Si vous utilisez un chemin différent, modifiez le chemin dans les étapes correspondantes de la procédure. -
Le certificat du serveur TLS est stocké dans le fichier
/etc/redis/redis.crt
. Si vous utilisez un chemin différent, modifiez le chemin dans les étapes correspondantes de la procédure. -
Le certificat CA est stocké dans le fichier
/etc/redis/ca.crt
. Si vous utilisez un chemin différent, modifiez-le dans les étapes correspondantes de la procédure.
En outre, pour le démon pmproxy
:
-
La clé privée du serveur est stockée dans le fichier
/etc/pcp/tls/server.key
. Si vous utilisez un chemin différent, modifiez le chemin dans les étapes correspondantes de la procédure.
Procédure
En tant qu'utilisateur root, ouvrez le fichier
/etc/redis/redis.conf
et ajustez les options TLS/SSL pour refléter les propriétés suivantes :port 0 tls-port 6379 tls-cert-file /etc/redis/redis.crt tls-key-file /etc/redis/redis.key tls-client-key-file /etc/redis/client.key tls-client-cert-file /etc/redis/client.crt tls-ca-cert-file /etc/redis/ca.crt
Assurez-vous que
redis
peut accéder aux certificats TLS :# su redis -s /bin/bash -c \ 'ls -1 /etc/redis/ca.crt /etc/redis/redis.key /etc/redis/redis.crt' /etc/redis/ca.crt /etc/redis/redis.crt /etc/redis/redis.key
Redémarrez le serveur
redis
pour appliquer les changements de configuration :# systemctl restart redis
Vérification
Confirmez que la configuration TLS fonctionne :
# redis-cli --tls --cert /etc/redis/client.crt \ --key /etc/redis/client.key \ --cacert /etc/redis/ca.crt <<< "PING" PONG
Une configuration TLS infructueuse peut entraîner le message d'erreur suivant :
Could not negotiate a TLS connection: Invalid CA Certificate File/Directory