Activer le chiffrement internœuds Cassandra

Le chiffrement entre nœuds (ou de nœud à nœud) protège les données circulant entre les nœuds d'un cluster à l'aide du protocole TLS. Cette page explique comment activer le chiffrement entre les nœuds Cassandra à l'aide de TLS sur Edge pour le cloud privé. Pour effectuer ces étapes, vous devez connaître les détails de votre anneau Cassandra.

Activer le chiffrement entre les nœuds Cassandra

Pour activer le chiffrement entre les nœuds Cassandra, suivez la procédure ci-dessous sur tous les nœuds du cluster. Vous devez distribuer les certificats publics de chaque nœud à tous les nœuds. Une fois cette opération effectuée, chaque nœud contiendra les certificats node0.cer, node1.cer, etc. dans son magasin de confiance. Chaque nœud ne contiendra que sa propre clé privée dans son keystore. Par exemple, node0 ne contiendra que node0.pem dans son keystore. Vous devez activer le chiffrement sur chaque nœud, un par un.

Pour activer le chiffrement entre les nœuds Cassandra, procédez comme suit:

  1. Générez des certificats de serveur en suivant les étapes décrites dans l'annexe afin de créer une clé autosignée et un certificat.

    Les étapes suivantes supposent que vous avez créé keystore.node0 et truststore.node0, ainsi que les mots de passe du keystore et du truststore, comme expliqué dans l'annexe. Le keystore et le Trustedstore doivent être créés en tant qu'étapes préliminaires sur chaque nœud avant de passer aux étapes suivantes.

  2. Ajoutez les propriétés suivantes au fichier /opt/apigee/customer/application/cassandra.properties. Si le fichier n'existe pas, créez-le. 
    conf_cassandra_internode_encryption=all
conf_cassandra_keystore=/opt/apigee/data/apigee-cassandra/keystore.node0
conf_cassandra_keystore_password=keypass
conf_cassandra_truststore=/opt/apigee/data/apigee-cassandra/truststore.node0
conf_cassandra_truststore_password=trustpass
# Optionally set the following to enable 2-way TLS or mutual TLS
# conf_cassandra_require_client_auth=true
  3. Assurez-vous que le fichier cassandra.properties appartient à l'utilisateur Apigee : 
    chown apigee:apigee \
/opt/apigee/customer/application/cassandra.properties

Exécutez les étapes suivantes sur chaque nœud Cassandra, une par une, afin que les modifications prennent effet sans entraîner de temps d'arrêt pour les utilisateurs:

  1. Arrêtez le service Cassandra : 
    /opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra stop
  2. Redémarrez le service Cassandra : 
    /opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra start
  3. Pour déterminer si le service de chiffrement TLS a démarré, recherchez le message suivant dans les journaux système : 
    Starting Encrypted Messaging Service on TLS port

Effectuer une rotation du certificat

Pour effectuer une rotation des certificats, procédez comme suit:

  1. Ajoutez le certificat pour chaque paire de clés générée unique (voir l'annexe) au Truststore d'un nœud Cassandra existant, de sorte que les anciens et les nouveaux certificats existent dans le même Trustedstore : 
    keytool -import -v -trustcacerts -alias NEW_ALIAS \
-file CERT -keystore EXISTING_TRUSTSTORE

    NEW_ALIAS est une chaîne unique permettant d'identifier l'entrée, CERT est le nom du fichier de certificat à ajouter et EXISTING_TRUSTSTORE est le nom du magasin de confiance existant sur le nœud Cassandra.

  2. Utilisez un utilitaire de copie, tel que scp, pour distribuer le truststore à tous les nœuds Cassandra du cluster, en remplaçant le truststore existant utilisé par chaque nœud.
  3. Effectuez un redémarrage progressif du cluster pour charger le nouveau truststore et établir une relation de confiance avec les nouvelles clés avant qu'elles ne soient en place : 
    /opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra restart
  4. Sur chaque nœud Cassandra du cluster, mettez à jour les propriétés ci-dessous avec les nouvelles valeurs du keystore dans le fichier cassandra.properties : 
    conf_cassandra_keystore=NEW_KEYSTORE_PATH
conf_cassandra_keystore_password=NEW_KEYSTORE_PASSOWRD

  
    where NEW_KEYSTORE_PATH is the path to the directory where the keystore file is
  located and NEW_KEYSTORE_PASSWORD is the keystore password set when the certificates
  were created, as explained in the Appendix.
  5. Stop the Cassandra service: 
    /opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra stop
  6. Redémarrez le service Cassandra : 
    /opt/apigee/apigee-service/bin/apigee-service \
apigee-cassandra start
  7. Une fois la communication établie entre tous les nœuds, passez au nœud Cassandra suivant. Remarque:Ne passez au nœud suivant que si la communication est établie entre tous les nœuds.

Annexe

L'exemple suivant explique comment préparer les certificats de serveur nécessaires pour effectuer les étapes de chiffrement entre nœuds. Les commandes présentées dans l'exemple utilisent les paramètres suivants:

Paramètres Description
node0 Toute chaîne unique permettant d'identifier le nœud.
keystore.node0 Nom d'un keystore. Les commandes supposent que ce fichier se trouve dans le répertoire actuel.
keypass La clé secrète doit être identique pour le keystore et la clé.
dname Identifie l'adresse IP de node0 comme 10.128.0.39.
-validity La valeur définie pour cet indicateur rend la paire de clés générée valide pendant 10 ans.
  1. Accédez au répertoire suivant : 
    cd /opt/apigee/data/apigee-cassandra
  2. Exécutez la commande suivante pour générer un fichier nommé keystore.node0 dans le répertoire actuel : 
    keytool -genkey -keyalg RSA -alias node0 -validity 3650 \
-keystore keystore.node0 -storepass keypass \
-keypass keypass -dname "CN=10.128.0.39, OU=None, \
O=None, L=None, C=None"

    Important:Assurez-vous que le mot de passe de la clé est identique à celui du keystore.

  3. Exportez le certificat dans un fichier distinct : 
    keytool -export -alias node0 -file node0.cer \
-keystore keystore.node0
  4. Assurez-vous que le fichier est lisible par l'utilisateur Apigee uniquement et par personne d'autre : 
    $ chown apigee:apigee \
/opt/apigee/data/apigee-cassandra/keystore.node0
$ chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node0
  5. Importez le certificat généré node0.cer dans le Truststore du nœud : 
    keytool -import -v -trustcacerts -alias node0 \
-file node0.cer -keystore truststore.node0

    La commande ci-dessus vous demande de définir un mot de passe. Il s'agit du mot de passe du Trustedstore. Il peut être différent du mot de passe du keystore que vous avez défini précédemment. Si vous êtes invité à approuver le certificat, saisissez yes.

  6. Utilisez openssl pour générer un fichier PEM du certificat sans clé. Notez que cqlsh ne fonctionne pas avec le certificat au format généré. 
    $ keytool -importkeystore -srckeystore keystore.node0 \
-destkeystore node0.p12 -deststoretype PKCS12 -srcstorepass \
keypass -deststorepass keypass
$ openssl pkcs12 -in node0.p12 -nokeys -out node0.cer.pem \
-passin pass:keypass
$ openssl pkcs12 -in node0.p12 -nodes -nocerts -out node0.key.pem -passin pass:keypass
  7. Pour le chiffrement de nœud à nœud, copiez le fichier node0.cer sur chaque nœud et importez-le dans le magasin de confiance de chaque nœud. 
    keytool -import -v -trustcacerts -alias node0 \
-file node0.cer -keystore truststore.node1
  8. Utilisez keytool -list pour rechercher des certificats dans les fichiers keystore et truststore : 
    $ keytool -list -keystore keystore.node0
$ keytool -list -keystore truststore.node0