20.7.2. SSL 証明書失効リストを使用した SSL/TLS 証明書認証の取り消し

悪意のあるネットワークエンティティーまたは承認されていないネットワークエンティティーからクラスターを保護するには、ssl.crl-path オプションを使用して、SSL 証明書失効リスト (CRL) を含むディレクトリーへのパスを指定できます。取り消された証明書の一覧を含むパスにより、サーバーノードが取り消された証明書を持つノードを停止できます。
たとえば、以下のように volume set コマンドで CRL が含まれるディレクトリーへのパスを指定できます。
$ gluster volume set vm-images ssl.crl-path /etc/ssl/
注記
CA 署名付き証明書のみが取り消され、自己署名証明書ではなく、取り消されます。
CRL ファイルを設定するには、以下を実行します。
  1. CRL ファイルをディレクトリーにコピーします。
  2. CRL ファイルを含むディレクトリーに移動します。
  3. c_rehash ユーティリティーを使用した CRL ファイルへのコンピュートハッシュ
    $ c_rehash .
    ハッシュとシンボリックリンクは、openssl-perl RPM で利用可能な c_rehash ユーティリティーを使用して実行できます。シンボリックリンクの名前は Common Name のハッシュである必要があります。詳細は、man ページの crl を参照してください。
  4. ssl.crl-path ボリュームオプションを設定します。
    $ gluster volume set VOLNAME ssl.crl-path path-to-directory
    path-to-directory は CRL ファイルをホストするディレクトリーの絶対パスである必要があります。