ルートCA署名証明書の作成

BYOルートCAのみ：ノード証明書に署名するために自分のルートCAを用意します。

1. BYOルートCA用署名証明書/キー用のディレクトリーを作成し、そのディレクトリーに変更します。

   mkdir -p rootca_path &&
   cd rootca_path

   注: これらの手順で作成したルートCAファイルが完全に分離されたCA証明書管理専用のコンピューター上で保護されていることを確認してください。
2. 構成ファイル（rootca.conf）を以下の最小設定で作成します。

   # rootca.conf
   [ req ]
   distinguished_name       = CA_DN
   prompt                   = no
   output_password          = rootca_password
   default_bits             = 2048
   
   [ CA_DN ]
   C  = CC
   O  = org_name
   OU = cluster_name
   CN = CA_CN

3. ルートペアrootca.keyおよびrootca.crtを作成します。

   openssl req -config rootca.conf \
   -new -x509 -nodes \
   -subj /CN=CA_CN/OU=cluster_name/O=org_name/C=CC/ \
   -keyout rootca.key \
   -out rootca.crt \
   -days 365

   この方法は、開発およびテスト環境専用です。このファイルは保護してください。ファイルにアクセスできる人は誰でも証明書に署名できます。

   ヒント: プロダクション環境のBYO CAは通常、中間証明書チェーンを使用します。
4. ルート証明書を確認します。

   openssl x509 -in rootca.crt -text -noout

   Certificate:
       Data:
           Version: 1 (0x0)
           Serial Number: 14793138693831603662 (0xcd4bc943beeb35ce)
       Signature Algorithm: sha256WithRSAEncryption
           Issuer: C=US, O=datastax, OU=pw-j-dse, CN=rootCa
           Validity
               Not Before: Jan 23 20:15:06 2017 GMT
               Not After : Jan 23 20:15:06 2018 GMT
           Subject: C=US, O=datastax, OU=pw-j-dse, CN=rootCa
           Subject Public Key Info:
               Public Key Algorithm: rsaEncryption
                   Public-Key: (2048 bit)
                   Modulus:
                       00:d8:71:e0:51:07:ad:f1:f7:0b:4d:2c:10:4c:24:
                       19:9f:1f:d4:2a:a1:a6:89:3d:e1:12:81:3b:4d:bd:
                       2d:da:fb:9e:d5:c5:ba:ed:82:80:28:35:e5:00:86:
                       96:2b:67:18:37:c9:80:32:3e:40:0a:25:5d:c2:d5:
                       1c:bf:de:29:7a:fa:d6:32:20:35:39:03:e6:0a:35:
                       96:9d:8e:ca:88:b2:71:24:50:d2:94:1c:80:de:dd:
                       39:35:57:38:b2:09:39:ba:b3:9b:60:a1:5a:c7:f3:
                       04:35:73:f9:b6:05:1e:09:a2:e1:0e:1c:eb:6f:5e:
                       66:71:ec:38:08:99:6e:a3:d5:2a:0f:af:99:f5:19:
                       c0:6d:4d:b0:ae:0f:6e:7b:c9:78:7d:29:37:3c:3d:
                       38:7a:74:da:d1:16:38:5a:2b:f1:ac:a0:39:91:4a:
                       83:6f:1e:92:b5:66:fd:7f:5f:57:77:5f:c5:c6:ca:
                       23:63:95:d5:36:04:c2:c3:94:6f:2d:56:7e:96:4b:
                       e1:f2:ca:cd:4a:d6:9d:50:1a:5d:6e:1b:76:57:b4:
                       cd:a6:1a:6a:bb:82:d3:32:b4:b6:85:34:b1:d3:6c:
                       31:f7:a1:51:2e:1f:48:c7:c9:04:d2:c4:38:d7:84:
                       c8:cb:08:10:04:a8:a6:12:cf:48:54:88:b6:f7:bc:
                       f2:5d
                   Exponent: 65537 (0x10001)
       Signature Algorithm: sha256WithRSAEncryption
            43:8d:98:8c:d7:26:52:41:ad:de:c9:80:8d:4f:d6:6e:21:69:
            81:7d:eb:af:93:6e:15:ad:9d:fe:ee:1a:60:d6:aa:92:86:a2:
            fd:e1:8f:95:b9:ee:db:59:63:fd:cd:05:72:63:d6:6b:14:cf:
            34:8c:15:cd:38:0a:ef:0d:41:de:9d:55:f2:2a:eb:1d:ca:44:
            21:f8:18:41:42:d9:e2:fb:c4:97:80:9c:ac:8b:61:d8:d9:33:
            38:9d:98:79:39:04:06:a8:b0:8e:e2:0e:49:5b:13:95:0b:42:
            2f:64:8c:9d:4a:6e:84:ca:40:26:7e:c8:a2:f3:e0:09:fc:9c:
            e8:a7:8a:6d:d2:cd:37:1f:0a:b8:61:c8:c3:f6:17:83:0f:24:
            0e:06:09:bc:73:09:32:70:f0:2f:9f:b1:7e:b8:ff:36:5c:3c:
            a9:28:69:58:fd:6b:55:2c:1f:8e:28:9c:8d:c9:37:66:9d:28:
            d7:4c:e5:fe:67:45:52:41:68:36:88:26:b1:95:f5:27:43:b3:
            1e:01:23:85:64:14:86:ff:b8:93:9e:06:78:ad:8b:2f:27:d8:
            35:06:49:37:d4:9f:d6:6f:a8:78:1f:b5:cf:96:2b:d7:da:02:
            2c:94:6f:1d:66:5c:e8:a6:a8:c9:e6:65:6a:6a:99:4a:61:a9:
            fe:7d:3e:c8