DSEFSのSSL暗号化の有効化

DSEFSはSSL暗号化を使用できます。

DSEFSのSSL暗号化の有効化には、ノード間の暗号化と、クライアントとノード間の暗号化の2つの手順があります。DSEでのノード間暗号化を有効にすると、DSEFSノード間での暗号化通信が自動的に有効になります。クライアントとノード間の暗号化が有効化されたDSEノードでは、DSEFSシェルからのSSL通信が可能になります。

SSL暗号化を使用するようにDSEFSシェルを構成する

多くの場合、SSLを使用して接続するために、DSEFSシェルの設定を追加する必要はありません。~/.dse/dsefs-shell.yaml構成ファイルが見つからない場合、DSEFSシェルはDSE構成ファイルからサーバー側の構成とSSL設定を読み込もうとします。

手動でSSLを構成するには、DSEFSシェル構成ファイルを作成および編集します。DSEFSシェルは~/.dse/dsefs-shell.yaml構成ファイルで構成されています。SSL暗号化を有効にするには、次の設定を追加します。

encryption_options:
  # set to true to enable secure client-server connection
  enabled: true 
  # if optional is true, and enabled is true, ssl will be used if possible, 
  # but will failover to non ssl
  optional: true 
  # path to truststore
  truststore_path: path 
  # optional truststore type; default value: JKS
  truststore_type: 
  # optional, will be prompted for if doesn't exist
  truststore_password: 
  # path to keystore
  keystore_path: path 
  # optional truststore type; default value: JKS
  keystore_type: 
  # optional, will be prompted for if doesn't exist
  keystore_password: 
  # optional protocol name; default value: TLSv1.2
  protocol: 
  # optional keymanager and trustmanager algorithm; default value: SunX509
  algorithm: 
  # optional list of ciphers
  cipher_suites: 
  # set to true to enable checking if the certificate matches endpoint address
  require_endpoint_verification: false

keystore_password、truststore_password、およびcipher_suitesを除き、同じ設定をdse fsコマンドライン・オプションとして指定できます。構成ファイルでパスワードが指定されていない場合、それを示すプロンプトがDSEFSシェルの起動時に表示されます。コマンドライン・オプションは、構成ファイルから読み込まれた設定をオーバーライドします。

注: 必須のセキュアな接続が確立されている場合、DSEFSシェルのプロンプトに[secure]フラグが表示されます。