すべての暗号化アルゴリズムおよびAES-256サポート用のJCEのインストール
すべての暗号化アルゴリズムがサポートされるように、またOracle Javaを使用する場合のために、DataStaxではJCE Unlimited Strength Jurisdiction Policyファイルをインストールすることを推奨します。
すべての暗号化アルゴリズムがサポートされるように、また特にOracle Javaを使用する場合のKerberos用AES-256のサポートのために、DataStaxではJCE Unlimited Strength Jurisdiction Policyファイルをインストールすることを推奨します。
cassandra.yaml内のserver_encryption_optionsのデフォルト・セットの一部の暗号化スイートは、Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policyファイルにのみ含まれています。すべての暗号化アルゴリズムがサポートされるように、JCE Unlimited Strength Jurisdiction Policyファイルをインストールしてください。
Kerberosは、デフォルトでAES-256暗号化を使用します。DataStaxでは、AES-256暗号化を使用することを推奨します。OpenJDKにはAES-256が含まれていますが、一部諸国への輸出制限のため、Oracle JavaにはAES-256暗号化は含まれていません。Oracle JavaとともにAES-245を使用するには、JCE Unlimited Strength Jurisdiction Policyファイルをインストールしてください。
JCE Unlimited Strength Jurisdiction Policyは、次のいずれかの方法でインストールできます。
RHELベースのシステムでのJCEのインストール
sudo yum install epel-release
DebianベースのシステムでのJCEのインストール
webupd8 PPA repositoryを使用して、次のようにJCEをインストールします。
sudo apt-get install oracle-java8-unlimited-jce-policy
Oracle JARを使用してのJCEのインストール
- Cryptography Extension (JCE) Unlimited Strength Jurisdiction PolicyファイルをOracle Java SEダウンロード・ページからダウンロードします。
- ダウンロードしたファイルを解凍します。
- local_policy.jarとUS_export_policy.jarを$JAVA_HOME/jre/lib/securityディレクトリーにコピーして、既存のJARSを上書きします。
AES-256の削除
AES-256設定を削除するための手順。
AES-256を使用しない場合は、AES-256設定を各Kerberosプリンシパルで許可された暗号化として削除してから、krbtgtプリンシパルのキーを再生成する必要があります。
始める前に
手順
AES-256設定を以下のいずれかの方法で削除します。