15.13. 配置更改日志加密

为提高安全性，目录服务器支持加密更改日志。本节介绍如何启用此功能。

服务器必须有存储在网络安全服务(NSS)数据库中的证书和密钥。例如，在服务器上启用 TLS 加密，如第 9.4.1 节 “在目录服务器中启用 TLS” 所述。

启用 changelog 加密：

除了您要启用 changelog 加密的服务器外，请输入以下命令停止复制拓扑中的所有实例：
```
# dsctl instance_name stop
```
在您要启用 changelog 加密的服务器中：
1. 将更改日志（如 /tmp/changelog.ldif 文件）导出到 /tmp/changelog.ldif 文件中：
```
# dsconf -D "cn=Directory Manager" ldap://server.example.com replication dump-changelog -o /tmp/changelog.ldif
```
2. 停止实例：
```
# dsctl instance_name stop
```
3. 在 /etc/dirsrv/slapd-instance_name/dse.ldif 文件中的 dn: cn=changelog5,cn=config 条目中添加以下设置：
```
nsslapd-encryptionalgorithm: AES
```
4. 启动实例：
```
# dsctl instance_name start
```
5. 从 /tmp/changelog.ldif 文件中导入更改日志：
```
# dsconf -D "cn=Directory Manager" ldap://server.example.com replication restore-changelog from-ldif /tmp/changelog.ldif
```
使用以下命令，启动复制拓扑中的其他服务器中的所有实例：
```
# dsctl instance_name start
```

要验证 changelog 是否已加密，请在带有加密更改日志的服务器上执行以下步骤：

在 LDAP 目录中进行更改，如更新条目。
停止实例：
```
# dsctl stop instance_name
```
输入以下命令显示 changelog 的部分内容：
```
# dbscan -f /var/lib/dirsrv/slapd-instance_name/changelogdb/replica_name_replGen.db | tail -50
```
如果更改日志加密，您只会看到加密的数据。
启动实例：
```
# dsctl start instance_name
```