SSL接続の使用

DevCenterをSSL対応のDataStax Enterpriseクラスターに接続します。

始める前に

  • SSLがクラスターで構成され、有効になっている必要があります。
  • Java Cryptography Extension(JCE)をクライアント・システムにインストールします。

    Java 8 for DataStax Enterpriseをダウンロードします。

    インストール・ディレクトリー(jre lib/security):

    • Linux:/usr/lib/jvm/jdk1.major.minor_update/jre/lib/security
    • Mac OS X:/Library/Java/JavaVirtualMachines/jdk1.major.minor_update/Contents/Home/jre/lib/security
    • Windows:C:\Program Files\Java\jre7\lib\security

    ダウンロードしたファイルを解凍し、UnlimitedJCEPolicyディレクトリーの内容をjre/lib/securityディレクトリーにコピーします。

  • 暗号キーを管理するためのkeytoolコマンド。
    注: keytoolコマンドがWindowsシステムで見つからない場合は、こちらの手順をお読みください。

手順

サーバーの検証

  1. サーバーの検証を実行するにあたって、クライアントはクラスター内の各ノードの公開鍵証明書をローカルのトラストストア・ファイルに格納しておく必要があります。このファイルはパスワードで保護されています(keytool によって、パスワードの作成が求められます)。トラストストア・ファイルとパスワードはDevCenter Connection Managerのダイアログ・ボックスに入力します(以下参照)。
    1. keytoolを使用して、公開鍵証明書をクラスター内の各ノードからインポートすることで、トラストストア・ファイルをクライアントに作成します。
      keytool -import -v -trustcacerts -alias node0 -file node0.cer -keystore .truststore & keytool -import -v -trustcacerts -alias node1 -file node1.cer -keystore .truststore & keytool -import -v -trustcacerts -alias node2 -file node2.cer -keystore .truststore
    2. DevCenterで、[File] > [New] > [Connection]の順に選択して[Connection Manager]を開きます。
    3. クラスター内のノードのIPアドレスを追加します。
    4. [Next]を選択します。
    5. [This cluster requires SSL]オプションを選択し、マシンのtruststoreファイルのフル・パスを入力するか、このフル・パスに移動します。
    6. トラストストアのパスワードを入力します。
    7. [Try to establish a connection]リンクを選択し、DataStax Enterpriseのノードに正常に接続できることを確認します。

クライアントの検証

  1. クラスターでクライアントの検証が必要な場合は、次の追加の手順を実行する必要があります。
    1. クライアント・ホスト(つまりDevCenterがインストールされているシステム)用のSSL証明書を作成します。
      keytool -genkey -alias client-host -keystore .keystore
    2. クライアントの証明書をエクスポートします。
      keytool -export -alias client-host -file client-host.cer -keystore .keystore
      公開証明書はclient-host.cerファイルに格納されています。
    3. 公開証明書をコピーして、DevCenterの接続先になるDataStax Enterpriseクラスターのすべてのノードのトラストストアにインポートします。
      keytool -import -v -trustcacerts -alias client-host -file /tmp/client-host.cer -keystore /var/tmp/.truststore
      注: クラスター・ノードのトラストストア・ファイルを変更するための適切なパーミッションがない場合は、クラスターの管理者に問い合わせる必要が生じることがあります。
    4. DevCenterで、接続を右クリックし、[Properties]を選択して[Connection Manager]内の接続を編集します。
    5. [Advanced Settings][Basic Settings]の下)で、[Client authentication required]オプションを選択し、キーストア・ファイルの場所とキーストア・パスワードを入力します。
      キーストア・ファイルのパスまたはパスワードが正しくない場合は、[Connection Manager]にエラーが表示されます。
    6. [Try to establish a connection]リンクをクリックして構成を検証します。
    7. [Connection Manager]ダイアログの下部にある[OK]をクリックし、接続を作成または更新します。
      これでDevCenterを有効にして、SSL対応クラスターと通信できるようになります。