証明書署名要求の作成

クラスター内のノードごとに、ノードのFQDNを使用してキーストアとキー・ペア、および証明書署名要求を作成します。

クラスター内のノードごとに、ノードのFQDNを使用してキーストアとキー・ペア、および証明書署名要求を作成します。

注: 以下の手順は、サードパーティのCAを使用する場合、またはSSLが有効な既存のDSE環境にノードを追加する場合にも必要です。

手順

  1. キーストアを格納するディレクトリーを作成し、そのディレクトリーに変更します。 
    mkdir -p dse/keystores
cd dse/keystores
  2. ノードごとに、キー・ペアを使用してキーストアを生成します。 
    keytool -genkeypair -keyalg RSA \
-alias node_name \
-keystore keystore_name.jks \
-storepass myKeyPass \
-keypass myKeyPass \
-validity 365 \
-keysize 2048 \
-dname "CN=host_name, OU=cluster_name, O=org_name, C=US"
    ここで、host_nameはFQDN(完全修飾ドメイン名)です。
    重要:
    ノードごとにDNSの解決可能なFQDN(完全修飾ドメイン名)を使用し、使用している情報が正しいことを確認するため、以下のコマンドを各ノードで実行します。
    nslookup $(hostname --fqdn) && hostname --fqdn && hostname -i
    Server:		10.200.1.10
Address:	10.200.1.10#53

Name:	node.example.com
Address: 10.200.182.183

node.example.com
10.200.182.183

    SSL証明書を生成するために使用するコモン・ネーム(CN)は、DNSの解決可能なホスト名と一致している必要があります。CNとノード・ホスト名が一致していない場合、例外が生じ、接続は拒否されます。

  3. 各SSLキーストアとキー・ペアを確認します。 
    keytool -list -keystore keystore_name.jks -storepass myKeyPass
    別名node1の単一のエントリーを持つキーストアの場合、結果は以下のようになります。
    Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

node1, Jan 23, 2017, PrivateKeyEntry,
Certificate fingerprint (SHA1): 12:B7:45:AA:AD:F0:22:23:3F:13:FC:2C:3D:A4:4F:84:16:96:58:66
  4. 各キーストアからの署名要求を作成します。 
    keytool -keystore keystore_name.jks \
-alias node_name \
-certreq -file signing_request.csr \
-keypass myKeyPass \
-storepass myKeyPass \
-dname "CN=host_name, OU=cluster_name, O=org_name, C=US"
    証明書署名要求ファイル(signing_request.csr)が作成されました。ノードごとにこれらの手順を繰り返し、dname情報がノード情報に一致していることを確認します。