ルートCA署名証明書の作成
BYOルートCAのみ:ノード証明書に署名するために自分のルートCAを用意します。
開発およびテスト環境では、自分のルートCAを設定して、SSL用のDataStax Enterpriseノード証明書に署名できます。
注: これらの手順で作成したルートCAファイルが完全に分離されたCA証明書管理専用のコンピューター上で保護されていることを確認してください。
手順
-
BYOルートCA用署名証明書/キー用のディレクトリーを作成し、そのディレクトリーに変更します。
mkdir -p rootca_path && cd rootca_path
注: これらの手順で作成したルートCAファイルが完全に分離されたCA証明書管理専用のコンピューター上で保護されていることを確認してください。 -
構成ファイル(rootca.conf)を以下の最小設定で作成します。
# rootca.conf [ req ] distinguished_name = CA_DN prompt = no output_password = rootca_password default_bits = 2048 [ CA_DN ] C = CC O = org_name OU = cluster_name CN = CA_CN
-
ルートペアrootca.keyおよびrootca.crtを作成します。
openssl req -config rootca.conf \ -new -x509 -nodes \ -subj /CN=CA_CN/OU=cluster_name/O=org_name/C=CC/ \ -keyout rootca.key \ -out rootca.crt \ -days 365
この方法は、開発およびテスト環境専用です。このファイルは保護してください。ファイルにアクセスできる人は誰でも証明書に署名できます。ヒント: プロダクション環境のBYO CAは通常、中間証明書チェーンを使用します。 -
ルート証明書を確認します。
openssl x509 -in rootca.crt -text -noout
Certificate: Data: Version: 1 (0x0) Serial Number: 14793138693831603662 (0xcd4bc943beeb35ce) Signature Algorithm: sha256WithRSAEncryption Issuer: C=US, O=datastax, OU=pw-j-dse, CN=rootCa Validity Not Before: Jan 23 20:15:06 2017 GMT Not After : Jan 23 20:15:06 2018 GMT Subject: C=US, O=datastax, OU=pw-j-dse, CN=rootCa Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d8:71:e0:51:07:ad:f1:f7:0b:4d:2c:10:4c:24: 19:9f:1f:d4:2a:a1:a6:89:3d:e1:12:81:3b:4d:bd: 2d:da:fb:9e:d5:c5:ba:ed:82:80:28:35:e5:00:86: 96:2b:67:18:37:c9:80:32:3e:40:0a:25:5d:c2:d5: 1c:bf:de:29:7a:fa:d6:32:20:35:39:03:e6:0a:35: 96:9d:8e:ca:88:b2:71:24:50:d2:94:1c:80:de:dd: 39:35:57:38:b2:09:39:ba:b3:9b:60:a1:5a:c7:f3: 04:35:73:f9:b6:05:1e:09:a2:e1:0e:1c:eb:6f:5e: 66:71:ec:38:08:99:6e:a3:d5:2a:0f:af:99:f5:19: c0:6d:4d:b0:ae:0f:6e:7b:c9:78:7d:29:37:3c:3d: 38:7a:74:da:d1:16:38:5a:2b:f1:ac:a0:39:91:4a: 83:6f:1e:92:b5:66:fd:7f:5f:57:77:5f:c5:c6:ca: 23:63:95:d5:36:04:c2:c3:94:6f:2d:56:7e:96:4b: e1:f2:ca:cd:4a:d6:9d:50:1a:5d:6e:1b:76:57:b4: cd:a6:1a:6a:bb:82:d3:32:b4:b6:85:34:b1:d3:6c: 31:f7:a1:51:2e:1f:48:c7:c9:04:d2:c4:38:d7:84: c8:cb:08:10:04:a8:a6:12:cf:48:54:88:b6:f7:bc: f2:5d Exponent: 65537 (0x10001) Signature Algorithm: sha256WithRSAEncryption 43:8d:98:8c:d7:26:52:41:ad:de:c9:80:8d:4f:d6:6e:21:69: 81:7d:eb:af:93:6e:15:ad:9d:fe:ee:1a:60:d6:aa:92:86:a2: fd:e1:8f:95:b9:ee:db:59:63:fd:cd:05:72:63:d6:6b:14:cf: 34:8c:15:cd:38:0a:ef:0d:41:de:9d:55:f2:2a:eb:1d:ca:44: 21:f8:18:41:42:d9:e2:fb:c4:97:80:9c:ac:8b:61:d8:d9:33: 38:9d:98:79:39:04:06:a8:b0:8e:e2:0e:49:5b:13:95:0b:42: 2f:64:8c:9d:4a:6e:84:ca:40:26:7e:c8:a2:f3:e0:09:fc:9c: e8:a7:8a:6d:d2:cd:37:1f:0a:b8:61:c8:c3:f6:17:83:0f:24: 0e:06:09:bc:73:09:32:70:f0:2f:9f:b1:7e:b8:ff:36:5c:3c: a9:28:69:58:fd:6b:55:2c:1f:8e:28:9c:8d:c9:37:66:9d:28: d7:4c:e5:fe:67:45:52:41:68:36:88:26:b1:95:f5:27:43:b3: 1e:01:23:85:64:14:86:ff:b8:93:9e:06:78:ad:8b:2f:27:d8: 35:06:49:37:d4:9f:d6:6f:a8:78:1f:b5:cf:96:2b:d7:da:02: 2c:94:6f:1d:66:5c:e8:a6:a8:c9:e6:65:6a:6a:99:4a:61:a9: fe:7d:3e:c8