プロダクション環境でのクライアントとノード間のSSLの構成

プロダクション環境のクラスターのクライアントとノード間接続用にSSLを設定します。

プロダクション環境のクラスターのクライアントとノード間接続用にSSLを設定します。

cassandra.yaml

cassandra.yamlファイルの場所は、インストールのタイプによって異なります。
パッケージ・インストール /etc/dse/cassandra/cassandra.yaml
tarボール・インストール installation_location/resources/cassandra/conf/cassandra.yaml

手順

各ノードで次の手順に従います。
注: DSE SearchノードとSparkノードには、cassandra.yaml内にトラストストア・エントリーが必要です。
  1. SSLを有効にします。client_encryption_optionsセクションで、enabledtrueに設定します。
  2. SSL接続のみを許可します。optionalfalseを設定します(デフォルトはfalseです)。
  3. 双方向のホスト証明書の検証が必要です。require_client_authtrueに設定します。
  4. キーストアとトラストストアを構成します。
    • ローカル・ファイル - 次の設定を使用します。
      • keystore_type: PKCS12
      • keystore:キーストア・ファイルへの相対パス。
      • keystore_password:キーストアにアクセスするためのパスワード。
      • truststore_type: PKCS12
      • truststore:DSEインストール・ディレクトリからの相対パス、またはトラストストア・ファイルの絶対パス。
      • truststore_password:トラストストアにアクセスするためのパスワード。
        注: トラストストアのパスワードおよびパスは、require client authtrueに設定されている場合のみ必要です。
      ローカル・ファイルの例:
      client_encryption_options:
    enabled: true
    keystore_type: PKCS12
    keystore: resources/dse/conf/.keystore
    keystore_password: cassandra
    require_client_auth: true
    truststore_type: PKCS12
    truststore: resources/dse/conf/.truststore
    truststore_password: cassandra
    protocol: ssl
    algorithm: SunX509
    store_type: JKS
    cipher_suites: [TLS_RSA_WITH_AES_128_CBC_SHA]
    • カスタム・プロバイダーを使用するリモート・デバイス:
      • keystore_type: PKCS11
      • keystore空白またはコメントアウト。
      • keystore_password空白またはコメントアウト。
      • truststore_type: PKCS11
      • truststore空白またはコメントアウト。
      • truststore_password空白またはコメントアウト。
      注: プロバイダーのインストールが必要です。「リモートPKCS11キーストア・プロバイダーの使用」を参照してください。
      リモートの例:
      client_encryption_options:
    enabled: true
    keystore_type: PKCS12
    keystore: resources/dse/conf/.keystore
    keystore_password: cassandra
    require_client_auth: false
    protocol: ssl
    algorithm: SunX509
    store_type: JKS
    cipher_suites: [TLS_RSA_WITH_AES_128_CBC_SHA]
  5. DataStax Enterpriseを再起動します。