SSLを使用したクライアントとノード間の暗号化

クライアントとノード間の暗号化は、クライアント・コンピューターからデータベース・クラスターに転送中のデータをSSLを使用して保護します。それによって、クライアントとコーディネーター・ノード間にセキュアなチャネルが確立されます。

クライアントとノード間の暗号化は、クライアント・コンピューターからデータベース・クラスターに転送中のデータをSSL(Secure Sockets Layer)を使用して保護します。それによって、クライアントとコーディネーター・ノード間にセキュアなチャネルが確立されます。Kerberosとは異なり、SSLは完全に分散されており、共有認証サービスを設定する必要がありません。SSL証明書については、「サーバーの証明書の準備」を参照してください。

DSE Search

SSLを有効にすると、Solr web.xmlファイルの認証/権限管理フィルターが自動的に有効になり、TomcatのSSLコネクターが構成されます。web.xmlまたはserver.xmlファイルは変更する必要はありません。

注: TomcatSolrRunnerがserver.xml内のコネクターを見つけられない場合は、デフォルトのコネクターを作成します。デフォルトのコネクターは、cassandra.yaml内のrpc_addressにバインドします。IPアドレスを変更してから、

手順

各ノードに以下の手順を実行します。Sparkを使用しているDSE SearchノードとDSE Analyticsノードには、cassandra.yaml内にトラストストア・エントリが必要です。

  1. cassandra.yamlファイルのclient_encryption_optionsセクションで次のように設定します。
    • 暗号化を有効にするには、enabledをtrueに設定します。
    • .keystoreおよび.truststoreファイルのパスを設定します。
    • キーストアとトラストストアを生成するときに使用したパスワードを入力します。
    • クライアントの証明書認証を有効にするには、require_client_authをtrueに設定します。
    client_encryption_options:
enabled:true
keystore:resources/dse/conf/.keystore  ## .keystoreファイルのパス
keystore_password:keystore password  ## キーストアの生成に使用したパスワード
store_type:JKS
truststore:resources/dse/conf/.truststore  ## .truststoreファイルのパス
truststore_password:truststore password  ## トラストストアの生成に使用したパスワード
protocol:ssl
require_client_auth:true
cipher_suites:[TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA]
    SSLでKerberosを使用する方法については、「KerberosとSSLの同時使用」を参照してください。トラストストアとキーストアのパスワードをKMIPで暗号化するには、「サーバー外暗号化キーを使用した暗号化」を参照してください。
    cassandra.yamlファイルの場所は、インストールのタイプによって異なります。
    パッケージ・インストール /etc/dse/cassandra/cassandra.yaml
    tarボール・インストール install_location/resources/cassandra/conf/cassandra.yaml
    dse.yamlファイルの場所は、インストールのタイプによって異なります。
    Installer-Services /etc/dse/dse.yaml
    パッケージ・インストール /etc/dse/dse.yaml
    Installer-No Services install_location/resources/dse/conf/dse.yaml
    tarボール・インストール install_location/resources/dse/conf/dse.yaml
    Tomcat server.xmlファイルのデフォルトの場所は、すべてのインストールのタイプで同じです。
    Installer-Servicesおよびパッケージ・インストール /etc/dse/resources/tomcat/conf/server.xml
    Installer-No Servicesおよびtarボール・インストール /etc/dse/tomcat/conf/server.xml
  2. dse.yamlファイルでclient_encryption_optionsが設定してある場合は、削除します。
  3. JCE Unlimited Strength Jurisdiction Policyファイルを使用していない場合は、プリンシパルを付与するチケットがAES-256を使用しないことを確認します。
    プリンシパルを付与するチケットがAES-256を使用している場合は、ログに次のような警告が表示される場合があります。
    WARN [StreamConnectionEstablisher:18] 2015-06-22 14:12:18,589 SSLFactory.java (line 162) Filtering out 
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA as it isnt supported by the socket