trino 433 开启 HTTPS

什么要开启https

因为开始password验证要求必须得https。

摘要

trino节点之间可以不用开启SSL，对外访问开启SSL。如果自备证书可以直接配置到trino的config文件，如果没有证书可以使用mkcert生成自签证书（客户端需要信任证书，尤其是java keystore），之前尝试过openssl，keystore，keystore explorer，都不是特别好用，不是生成失败，就是生成的证书需要配合域名使用（需要客户端修改hosts文件，新增域名和IP的解析），所以选择了mkcert，只需要一行命令就可以（可以给多个IP or domain生成证书）。

准备

1. mkcert ： mkcert地址。根剧系统选择合适的mkcert下载

生成证书

# 如果是linux系统，需要chmod a+x mkcert  赋予执行权限
mkcert domain1 [domain2 [...]] 
# 假设需要多个IP使用
mkcert 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4
# 假设需要多个IP or domain使用
mkcert 192.168.1.1 192.168.1.2 trino3.xyz trino4.xyz
# 假设需要多个IP or domain使用，trino1.xyz解析到192.168.1.1,trino2.xyz解析到192.168.1.2
mkcert 192.168.1.1 192.168.1.2 trino1.xyz trino2.xyz trino3.xyz trino4.xyz
# 最后效果是无论使用IP 还是 domain 都能够正常访问
# domain 需要配置 DNS ，DNS 能够解析 domain 指向IP。（或者修改hosts文件）

#查看信任证书存放地址
./mkcert -CAROOT
# 会生成两个.pem文件，一个是证书，一个秘钥：
# * 可以随便定义。
# *.pem后缀的是证书文件，建议改名为*.cer（改完在windows可以直接双击安装，选择信任机构）
# *key.pem后缀的是秘钥文件。建议改名成*.key

# 合并秘钥和证书文件，此处假定 * 为trino。
cat trino.key trino.cer > trino.pem

trino 配置证书文件

修改 config.properties 文件 增加以下内容

# 启用https
http-server.https.enabled=true
# 设置https端口
http-server.https.port=8443
# 设置证书秘钥文件地址（建议三个文件 key，cer，pem 文件放到trino下的tls目录，没有就创建）
# 建议写绝对路径
http-server.https.keystore.path=/trino-server-433/tls/trino.pem
#节点之间不需要使用https通信，在内网部署无需，外网需打开，默认就是false
internal-communication.https.required=false

全部节点都必须要有证书文件，config.properties 可主节点修改，也可全部节点修改。

trino 全部节点重启

# 重启， -v 查看启动信息
bin/launcher restart -v
# 重启完成之后使用 https 访问即可。

信任证书

# 本地信任证书
mkcert --install
# java 信任证书
# -file 证书地址
keytool -import -alias trino -file /tmp/trino.cer \
-keystore $JAVA_HOME/jre/lib/security/cacerts --storepass changeit -v
# 如果只安装了jre的话
keytool -import -alias trino -file /tmp/trino.cer \
-keystore $JAVA_HOME/lib/security/cacerts --storepass changeit -v
# 查看已信任的证书
keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts --storepass changeit -v
keytool -list -keystore $JAVA_HOME/lib/security/cacerts --storepass changeit -v

DataGrip

下载key（秘钥文件），和cer（证书文件）文件配置到此处即可。

Troubleshoot

错误1

连接trino时报错

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 
PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target

解决方案：

检查java是否信任自签证书，确保运行java使用的$JAVA_HOME/lib/security/cacerts中是否有新增加的证书

错误2

连接的时候报错。这是因为证书的里面的SAN设置的有问题。

 javax.net.ssl.SSLPeerUnverifiedException: hostname not verified

解决方案：

1. 修改hosts文件，新增一个域名到IP的映射
2. 使用mkcert。mkcert亲测不会出现问题。

错误3

这是因为 mysql 低版本 不支持设置时区为 Asia/Shanghai

java.sql.SQLNonTransientConnectionException: 
Could not create connection to database server. Attempted reconnect 3 times. Giving up.
com.mysql.cj.exceptions.CJException: Unknown or incorrect time zone: 'Asia/Shanghai'

# 使用以下代码验证mysql数据库是否支持设置这种时区
SET SESSION time_zone='Asia/Shanghai'

解决方案

建议百度 mysql Unknown or incorrect time zone: 'Asia/Shanghai'查找解决方案。