生成されたCA証明書のダウンロード

クライアントとノード間の暗号化を有効にした後でLifecycle Managerによって自動的に生成されるCA証明書をダウンロードします。この証明書を使用するようCQLクライアントを構成します。

クライアントとノード間の暗号化を有効にした後でLifecycle Managerによって自動的に生成されるCA証明書をダウンロードします。LCMにより、内部認証局を使用したSSL証明書の設定プロセスが自動化されます。認証局によって署名された証明書を信頼するようCQLクライアントを構成します。

始める前に

  1. クラスターに関連付けられた構成プロファイルクライアントとノード間の暗号化を有効にします
  2. 証明書が生成されない場合は、SSL証明書がまだ有効でないことを示すエラー・メッセージがopscenterd.logジョブ・イベント詳細の両方に記載されます。証明書チェーンが正しく生成されるのを妨げる可能性のあるクロック・ドリフトが生じていないことを確認します。Best Practice Service(ベスト・プラクティス・サービス)クロック・ドリフト・ルールをチェックして、クロックが同期されていることを確認します。

opscenterd.log

opscenterd.logファイルの場所は、インストールのタイプによって異なります。

  • パッケージ・インストール:/var/log/opscenter/opscenterd.log
  • tarボール・インストール:install_location/log/opscenterd.log

手順

  1. Lifecycle Managerの[Clusters]ワークスペースで、[Clusters]ペインからクラスターを選択します。
    選択したクラスターの[Cluster Details]ペインが表示されます。

  2. [Cluster Details]ペインで、CA証明書の[Download Cert]リンクをクリックします。
    ブラウザーによって証明書ファイルがダウンロードされます。デフォルトで、LCMによって提供されるDSEクライアントのCA証明書ファイルは、名前がcacert、形式がPEMになります。
  3. CA証明書を使用して、SSL/TLSで通信するようCQLクライアントを構成します。構成プロセスはCQLクライアントごとに固有です。cqlsh用にSSL/TLSを構成する手順を例として参照してください。

    たとえば、CQLSHクライアントを使用して、以下のコマンドでDSEノードに(SSL)アクセスできます。

    SSL_CERTFILE=cacert cqlsh --ssl <DseNode_Host>
    クライアントは、CQLを使用しSSL/TLSを介してDataStax Enterpriseクラスターに接続できます。