クライアントとノード間の暗号化
LCMでは、LCMまたは別の認証局によって生成された証明書でクライアントとノード間の暗号化を使用するようDSEクラスターを構成できます。
Lifecycle Manager(LCM)では、デフォルトで無効になっている、クライアントとノード間の暗号化を使用するようDataStax Enterprise(DSE)クラスターを構成できます。LCMの構成プロファイルを使用してクライアント暗号化を有効にする段階的な手順については、「LCMを使用したDSE用のSSL/TLSの構成」を参照してください。LCMによって管理されていないDSEクラスター用に、LCMを使用してSSLを手動で外部から構成するには、「クライアントとノード間の接続用SSLの構成」を参照してください。
クライアントとノード間の暗号化を有効にすると、Lifecycle Managerでは、ノード間の暗号化と同じように、サーバー証明書の準備プロセスが自動化されます。クライアントとノード間の暗号化を有効にするには、構成プロファイルを選択して[cassandra.yaml]をクリックし、[Security]ペインに移動して、[client_encryption_options]に[enabled]を選択します。
LCMで内部認証局を使用しない場合は、ノード間の暗号化で説明したように、キーストアとトラストストアを手動でデプロイできます。
ドライバー、cqlsh、その他のCQLクライアントを、クラスターとノード間の暗号化が有効になっているクラスターに接続するには、通常、適切な証明書を信頼するように事前に構成する必要があります。このプロセスは、CQLクライアントごとに異なり、Lifecycle ManagerではCQLクライアントは自動的に構成されません。クライアントとノード間の暗号化を有効にしたら、CQLクライアントが適切な証明書を使用するように構成します。
- Lifecycle Managerで内部認証局によって証明書が生成された場合は、CA証明書をダウンロードします。
- 証明書がLifecycle Manager以外で生成された場合は、適切なCA証明書または自己署名証明書を取得します。「LCM以外で生成された証明書の使用」を参照してください。
注: [client_encryption_options]の[require_client_auth]を有効にすると、LCM制限事項により特別な手順を実行する必要があります。詳細については、このナレッジ・ベース記事を参照してください。