Cassandra-Interknotenverschlüsselung aktivieren

Die Interknoten-Verschlüsselung (oder Knoten-zu-Knoten-Verschlüsselung) schützt Daten, die zwischen Knoten in einem Cluster übertragen werden. mit TLS. Auf dieser Seite wird erläutert, wie Sie die Cassandra-Internode-Verschlüsselung mit TLS in Edge für Private Cloud Um diese Schritte ausführen zu können, müssen Sie mit den Details Ihrer Cassandra-App vertraut sein. klingeln.

Cassandra-Zwischenknotenverschlüsselung aktivieren

Um die Cassandra-Interknotenverschlüsselung zu aktivieren, führen Sie auf allen Knoten im Cluster. Sie müssen öffentliche Zertifikate von jedem Knoten auf alle Knoten verteilen. Danach enthält jeder Knoten Zertifikate node0.cer, node1.cer usw. im Truststore. Jeder Knoten wird nur ihren eigenen privaten Schlüssel in einer keystore. Beispiel: node0 enthält nur node0.pem in seiner keystore. Sie müssen die Verschlüsselung auf jedem Knoten einzeln aktivieren.

So aktivieren Sie die Cassandra-Interknotenverschlüsselung:

  1. Generieren Sie Serverzertifikate mithilfe der Schritte im Anhang. zum Erstellen eines selbst signierten Schlüssels und Zertifikat.

    Bei den folgenden Schritten wird davon ausgegangen, dass Sie keystore.node0 erstellt haben. und truststore.node0, sowie die Passwörter für den Schlüsselspeicher und den Truststore, wie im Anhang erläutert. Der Schlüsselspeicher und der Truststore sollten als erste Schritte auf jedem Knoten erstellt werden, bevor Sie fortfahren. mit den nächsten Schritten.

  2. Fügen Sie dem /opt/apigee/customer/application/cassandra.properties die folgenden Attribute hinzu -Datei. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
    conf_cassandra_internode_encryption=all
    conf_cassandra_keystore=/opt/apigee/data/apigee-cassandra/keystore.node0
    conf_cassandra_keystore_password=keypass
    conf_cassandra_truststore=/opt/apigee/data/apigee-cassandra/truststore.node0
    conf_cassandra_truststore_password=trustpass
    # Optionally set the following to enable 2-way TLS or mutual TLS
    # conf_cassandra_require_client_auth=true
  3. Achten Sie darauf, dass die Datei cassandra.properties dem Apigee-Nutzer gehört:
    chown apigee:apigee \
    /opt/apigee/customer/application/cassandra.properties

Führen Sie die folgenden Schritte nacheinander auf jedem Cassandra-Knoten aus, damit die Änderungen wirksam werden ohne Ausfallzeiten für Nutzer zu verursachen:

  1. Beenden Sie den Cassandra-Dienst:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra stop
  2. Starten Sie den Cassandra-Dienst neu:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra start
  3. Um festzustellen, ob der TLS-Verschlüsselungsdienst gestartet wurde, suchen Sie in den Systemprotokollen nach der folgenden Nachricht:
    Starting Encrypted Messaging Service on TLS port

Zertifikatsrotation durchführen

So rotieren Sie Zertifikate:

  1. Fügen Sie das Zertifikat für jedes eindeutig generierte Schlüsselpaar hinzu (siehe Anhang). zu einer vorhandenen Cassandra- Knoten-Truststore, sodass sowohl die alten als auch die neuen Zertifikate im selben Truststore:
    keytool -import -v -trustcacerts -alias NEW_ALIAS \
    -file CERT -keystore EXISTING_TRUSTSTORE

    Dabei ist NEW_ALIAS ein eindeutiger String zur Identifizierung des Eintrags, CERT ist den Namen des Zertifikats hinzuzufügende Datei und EXISTING_TRUSTSTORE der Name des vorhandenen Truststore auf dem Cassandra-Knoten ist.

  2. Verwenden Sie ein Kopierdienstprogramm wie scp, um den Truststore auf alle Cassandra-Knoten im Cluster zu verteilen Dadurch wird der vorhandene Truststore ersetzt, der von jedem Knoten verwendet wird.
  3. Führen Sie einen rollierenden Neustart des Clusters durch, um den neuen Truststore zu laden und eine Vertrauensstellung für den neue Schlüssel verwenden, bevor diese vorhanden sind:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra restart
  4. Aktualisieren Sie auf jedem Cassandra-Knoten im Cluster die unten gezeigten Attribute auf den neuen Schlüsselspeicher in der Datei cassandra.properties angeben:
    conf_cassandra_keystore=NEW_KEYSTORE_PATH
    conf_cassandra_keystore_password=NEW_KEYSTORE_PASSOWRD
    
      

    where NEW_KEYSTORE_PATH is the path to the directory where the keystore file is located and NEW_KEYSTORE_PASSWORD is the keystore password set when the certificates were created, as explained in the Appendix.

  5. Stop the Cassandra service:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra stop
  6. Starten Sie den Cassandra-Dienst neu:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra start
  7. Wenn die Kommunikation zwischen allen Knoten erfolgreich hergestellt wurde, fahren Sie mit dem nächsten fort. Cassandra-Knoten. Hinweis:Fahren Sie nur dann mit dem nächsten Knoten fort, wenn die Kommunikation erfolgreich ist. zwischen allen Knoten festgelegt.

Anhang

Im folgenden Beispiel wird erläutert, wie Serverzertifikate vorbereitet werden, die für die Ausführung der knotenübergreifende Verschlüsselung. Für die im Beispiel gezeigten Befehle werden die folgenden Parameter verwendet:

Parameter Beschreibung
node0 Beliebiger eindeutiger String zur Identifizierung des Knotens.
keystore.node0 Ein Schlüsselspeichername. Bei den Befehlen wird davon ausgegangen, dass sich diese Datei im aktuellen Verzeichnis befindet.
keypass Der Keypass muss für den Schlüsselspeicher und den Schlüssel identisch sein.
dname Gibt die IP-Adresse von node0 als 10.128.0.39 an.
-validity Durch den für dieses Flag festgelegten Wert ist das generierte Schlüsselpaar zehn Jahre lang gültig.
  1. Wechseln Sie zum folgenden Verzeichnis:
    cd /opt/apigee/data/apigee-cassandra
  2. Führen Sie den folgenden Befehl aus, um im aktuellen Verzeichnis eine Datei mit dem Namen keystore.node0 zu generieren:
    keytool -genkey -keyalg RSA -alias node0 -validity 3650 \
    -keystore keystore.node0 -storepass keypass \
    -keypass keypass -dname "CN=10.128.0.39, OU=None, \
    O=None, L=None, C=None"

    Wichtig:Achten Sie darauf, dass das Schlüsselpasswort mit dem Schlüsselspeicher-Passwort übereinstimmt.

  3. Exportieren Sie das Zertifikat in eine separate Datei:
    keytool -export -alias node0 -file node0.cer \
    -keystore keystore.node0
  4. Achten Sie darauf, dass die Datei nur vom Apigee-Benutzer und von niemand anderem gelesen werden kann:
    $ chown apigee:apigee \
    /opt/apigee/data/apigee-cassandra/keystore.node0
    $ chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node0
  5. Importieren Sie das generierte Zertifikat node0.cer in den Truststore des Knotens:
    keytool -import -v -trustcacerts -alias node0 \
    -file node0.cer -keystore truststore.node0

    Mit dem obigen Befehl werden Sie aufgefordert, ein Passwort festzulegen. Dies ist das Passwort des Truststores. sich von dem Schlüsselspeicher-Passwort unterscheidet, das Sie zuvor festgelegt haben. Wenn Sie aufgefordert werden, dem Zertifikat zu vertrauen, Geben Sie yes ein.

  6. Verwenden Sie openssl, um eine PEM-Datei des Zertifikats ohne Schlüssel zu generieren. Hinweis: cqlsh funktioniert nicht mit dem Zertifikat in dem generierten Format.
    $ keytool -importkeystore -srckeystore keystore.node0 \
    -destkeystore node0.p12 -deststoretype PKCS12 -srcstorepass \
    keypass -deststorepass keypass
    $ openssl pkcs12 -in node0.p12 -nokeys -out node0.cer.pem \
    -passin pass:keypass
    $ openssl pkcs12 -in node0.p12 -nodes -nocerts -out node0.key.pem -passin pass:keypass
  7. Kopieren Sie für die Knoten-zu-Knoten-Verschlüsselung die Datei node0.cer auf jeden Knoten und importieren Sie sie mit dem Truststore jedes Knotens verknüpft.
    keytool -import -v -trustcacerts -alias node0 \
    -file node0.cer -keystore truststore.node1
  8. Verwenden Sie keytool -list, um in den Keystore- und Truststore-Dateien nach Zertifikaten zu suchen:
    $ keytool -list -keystore keystore.node0
    $ keytool -list -keystore truststore.node0