プロダクション環境でのクライアントとノード間のSSLの構成
プロダクション環境のクラスターのクライアントとノード間接続用にSSLを設定します。
プロダクション環境のクラスターのクライアントとノード間接続用にSSLを設定します。
cassandra.yaml
cassandra.yamlファイルの場所は、インストールのタイプによって異なります。パッケージ・インストール | /etc/dse/cassandra/cassandra.yaml |
tarボール・インストール | installation_location/resources/cassandra/conf/cassandra.yaml |
手順
各ノードで次の手順に従います。
注: DSE SearchノードとSparkノードには、cassandra.yaml内にトラストストア・エントリーが必要です。
-
SSLを有効にします。client_encryption_optionsセクションで、enabledを
true
に設定します。 -
SSL接続のみを許可します。optionalを
false
を設定します(デフォルトはfalseです)。 -
双方向のホスト証明書の検証が必要です。require_client_authを
true
に設定します。 -
キーストアとトラストストアを構成します。
- ローカル・ファイル - 次の設定を使用します。
- keystore_type: PKCS12
- keystore:キーストア・ファイルへの相対パス。
- keystore_password:キーストアにアクセスするためのパスワード。
- truststore_type: PKCS12
- truststore:DSEインストール・ディレクトリからの相対パス、またはトラストストア・ファイルの絶対パス。
- truststore_password:トラストストアにアクセスするためのパスワード。
ローカル・ファイルの例:client_encryption_options: enabled: true keystore_type: PKCS12 keystore: resources/dse/conf/.keystore keystore_password: cassandra require_client_auth: true truststore_type: PKCS12 truststore: resources/dse/conf/.truststore truststore_password: cassandra protocol: ssl algorithm: SunX509 store_type: JKS cipher_suites: [TLS_RSA_WITH_AES_128_CBC_SHA]
- カスタム・プロバイダーを使用するリモート・デバイス:
- keystore_type: PKCS11
- keystore:空白またはコメントアウト。
- keystore_password:空白またはコメントアウト。
- truststore_type: PKCS11
- truststore:空白またはコメントアウト。
- truststore_password:空白またはコメントアウト。
注: プロバイダーのインストールが必要です。「リモートPKCS11キーストア・プロバイダーの使用」を参照してください。リモートの例:client_encryption_options: enabled: true keystore_type: PKCS12 keystore: resources/dse/conf/.keystore keystore_password: cassandra require_client_auth: false protocol: ssl algorithm: SunX509 store_type: JKS cipher_suites: [TLS_RSA_WITH_AES_128_CBC_SHA]
- ローカル・ファイル - 次の設定を使用します。
- DataStax Enterpriseを再起動します。