生成されたCA証明書のダウンロード
クライアントとノード間の暗号化を有効にした後でLifecycle Managerによって自動的に生成されるCA証明書をダウンロードします。この証明書を使用するようCQLクライアントを構成します。
始める前に
- クラスターに関連付けられた構成プロファイルでクライアントとノード間の暗号化を有効にします。
- 証明書が生成されない場合は、SSL証明書がまだ有効でないことを示すエラー・メッセージがopscenterd.logとジョブ・イベント詳細の両方に記載されます。証明書チェーンが正しく生成されるのを妨げる可能性のあるクロック・ドリフトが生じていないことを確認します。Best Practice Service(ベスト・プラクティス・サービス)でクロック・ドリフト・ルールをチェックして、クロックが同期されていることを確認します。
opscenterd.log
opscenterd.logファイルの場所は、インストールのタイプによって異なります。
- パッケージ・インストール:/var/log/opscenter/opscenterd.log
- tarボール・インストール:install_location/log/opscenterd.log
手順
-
Lifecycle Managerの[Clusters]ワークスペースで、[Clusters]ペインからクラスターを選択します。
選択したクラスターの[Cluster Details]ペインが表示されます。
-
[Cluster Details]ペインで、CA証明書の[Download Cert]リンクをクリックします。
ブラウザーによって証明書ファイルがダウンロードされます。デフォルトで、LCMによって提供されるDSEクライアントのCA証明書ファイルは、名前がcacert、形式がPEMになります。
-
CA証明書を使用して、SSL/TLSで通信するようCQLクライアントを構成します。構成プロセスはCQLクライアントごとに固有です。cqlsh用にSSL/TLSを構成する手順を例として参照してください。
たとえば、CQLSHクライアントを使用して、以下のコマンドでDSEノードに(SSL)アクセスできます。
SSL_CERTFILE=cacert cqlsh --ssl <DseNode_Host>
クライアントは、CQLを使用しSSL/TLSを介してDataStax Enterpriseクラスターに接続できます。