Phương thức mã hoá khoá (hoặc từ nút đến nút) bảo vệ việc di chuyển dữ liệu giữa các nút trong một cụm bằng TLS. Trang này giải thích cách bật tính năng mã hoá khoá vô tuyến Cassandra bằng TLS trên Edge cho Đám mây riêng tư. Để thực hiện các bước này, bạn phải làm quen với thông tin chi tiết về vòng Cassandra.
Bật tính năng mã hoá khoá xen của Cassandra
Để bật tính năng mã hoá nút vô tuyến Cassandra, hãy làm theo quy trình dưới đây trên tất cả các nút trong
cụm. Bạn cần phân phối chứng chỉ công khai của mỗi nút tới tất cả các nút.
Sau khi thực hiện việc này, mỗi nút sẽ chứa các chứng chỉ
node0.cer
, node1.cer
, v.v. trong kho lưu trữ tin cậy của nút đó. Mỗi nút sẽ chỉ chứa khoá riêng tư của riêng nút đó trong kho khoá của nút đó. Ví dụ: node0
sẽ chỉ chứa node0.pem
trong kho khoá. Bạn cần bật mã hoá trên từng nút, mỗi lần một nút.
Hãy làm theo các bước sau để bật tính năng mã hoá khoá xung quanh Cassandra:
Tạo chứng chỉ máy chủ bằng cách làm theo các bước trong Phụ lục để tạo khoá và chứng chỉ tự ký.
Các bước sau đây giả định bạn đã tạo
keystore.node0
vàtruststore.node0
, cũng như mật khẩu kho khoá và kho lưu trữ tin cậy, như giải thích trong Phụ lục. Bạn nên tạo kho khoá và kho tin cậy ở các bước sơ bộ trên mỗi nút trước khi thực hiện các bước tiếp theo.- Thêm các thuộc tính sau vào tệp
/opt/apigee/customer/application/cassandra.properties
. Hãy tạo tệp nếu chưa có.conf_cassandra_internode_encryption=all conf_cassandra_keystore=/opt/apigee/data/apigee-cassandra/keystore.node0 conf_cassandra_keystore_password=keypass conf_cassandra_truststore=/opt/apigee/data/apigee-cassandra/truststore.node0 conf_cassandra_truststore_password=trustpass # Optionally set the following to enable 2-way TLS or mutual TLS # conf_cassandra_require_client_auth=true
- Đảm bảo rằng tệp
cassandra.properties
thuộc sở hữu của người dùng API:chown apigee:apigee \ /opt/apigee/customer/application/cassandra.properties
Hãy thực thi từng bước sau đây trên mỗi nút Cassandra để các thay đổi có hiệu lực mà không gây ra thời gian ngừng hoạt động cho người dùng:
- Dừng dịch vụ Cassandra:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra stop
- Khởi động lại dịch vụ Cassandra:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra start
- Để xác định xem dịch vụ mã hoá TLS đã khởi động hay chưa, hãy kiểm tra nhật ký hệ thống để tìm thông báo sau:
Starting Encrypted Messaging Service on TLS port
Thực hiện xoay chứng chỉ
Để xoay vòng chứng chỉ, hãy làm theo các bước sau:
- Thêm chứng chỉ cho từng cặp khoá đã tạo riêng biệt (xem Phụ lục) vào kho tin cậy của nút Cassandra hiện có, sao cho cả chứng chỉ cũ và chứng chỉ mới đều tồn tại trong cùng một kho tin cậy:
keytool -import -v -trustcacerts -alias NEW_ALIAS \ -file CERT -keystore EXISTING_TRUSTSTORE
trong đó
NEW_ALIAS
là một chuỗi duy nhất để xác định mục nhập,CERT
là tên của tệp chứng chỉ cần thêm vàEXISTING_TRUSTSTORE
là tên của kho lưu trữ tin cậy hiện có trên nút Cassandra. - Sử dụng tiện ích sao chép, chẳng hạn như scp, để phân phối Truststore cho tất cả các nút Cassandra trong cụm đồng hồ thay thế kho lưu trữ tin cậy mà mỗi nút đang sử dụng.
- Tiến hành khởi động lại cụm đồng thời để tải kho lưu trữ tin cậy mới và thiết lập niềm tin cho các khoá mới trước khi các khoá đó được đưa vào sử dụng:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra restart
- Trên mỗi nút Cassandra trong cụm, hãy cập nhật các thuộc tính như bên dưới thành giá trị kho khoá mới trong tệp cassandra.properties:
conf_cassandra_keystore=NEW_KEYSTORE_PATH conf_cassandra_keystore_password=NEW_KEYSTORE_PASSOWRD
where
NEW_KEYSTORE_PATH
is the path to the directory where the keystore file is located andNEW_KEYSTORE_PASSWORD
is the keystore password set when the certificates were created, as explained in the Appendix. - Stop the Cassandra service:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra stop
- Khởi động lại dịch vụ Cassandra:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra start
- Khi thiết lập thành công hoạt động giao tiếp giữa tất cả các nút, hãy chuyển đến nút Cassandra tiếp theo. Lưu ý: Chỉ chuyển đến nút tiếp theo nếu hoạt động giao tiếp được thiết lập thành công giữa tất cả các nút.
Phụ lục
Ví dụ sau đây giải thích cách chuẩn bị chứng chỉ máy chủ cần thiết để thực hiện các bước mã hoá nút chuyển. Các lệnh trong ví dụ này sử dụng các tham số sau:
Thông số | Nội dung mô tả |
---|---|
node0 |
Chuỗi duy nhất bất kỳ để xác định nút. |
keystore.node0 |
Tên kho khoá. Các lệnh giả định tệp này nằm trong thư mục hiện tại. |
keypass |
Khoá truy cập phải giống nhau cho cả kho khoá và khoá. |
dname |
Xác định địa chỉ IP của node0 là 10.128.0.39 . |
-validity |
Giá trị được đặt trên cờ này giúp cặp khoá được tạo có hiệu lực trong 10 năm. |
- Chuyển đến thư mục sau:
cd /opt/apigee/data/apigee-cassandra
- Chạy lệnh sau để tạo tệp có tên
keystore.node0
trong thư mục hiện tại:keytool -genkey -keyalg RSA -alias node0 -validity 3650 \ -keystore keystore.node0 -storepass keypass \ -keypass keypass -dname "CN=10.128.0.39, OU=None, \ O=None, L=None, C=None"
Lưu ý quan trọng: Hãy đảm bảo rằng mật khẩu khoá giống với mật khẩu kho khoá.
- Xuất chứng chỉ sang một tệp riêng:
keytool -export -alias node0 -file node0.cer \ -keystore keystore.node0
- Đảm bảo chỉ người dùng API mới đọc được tệp và không ai khác:
$ chown apigee:apigee \ /opt/apigee/data/apigee-cassandra/keystore.node0 $ chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node0
- Nhập chứng chỉ đã tạo
node0.cer
vào kho lưu trữ tin cậy của nút:keytool -import -v -trustcacerts -alias node0 \ -file node0.cer -keystore truststore.node0
Lệnh ở trên yêu cầu bạn đặt một mật khẩu. Đây là mật khẩu Truststore và có thể khác với mật khẩu kho khoá bạn đã đặt trước đó. Nếu được nhắc tin tưởng chứng chỉ, hãy nhập
yes
. - Sử dụng openSSL để tạo tệp PEM của chứng chỉ mà không có khóa. Xin lưu ý rằng
cqlsh
không hoạt động với chứng chỉ ở định dạng đã tạo.$ keytool -importkeystore -srckeystore keystore.node0 \ -destkeystore node0.p12 -deststoretype PKCS12 -srcstorepass \ keypass -deststorepass keypass $ openssl pkcs12 -in node0.p12 -nokeys -out node0.cer.pem \ -passin pass:keypass $ openssl pkcs12 -in node0.p12 -nodes -nocerts -out node0.key.pem -passin pass:keypass
- Đối với phương thức mã hoá nút đến nút, hãy sao chép tệp
node0.cer
vào mỗi nút và nhập tệp đó vào kho lưu trữ tin cậy của mỗi nút.keytool -import -v -trustcacerts -alias node0 \ -file node0.cer -keystore truststore.node1
- Sử dụng
keytool -list
để kiểm tra các chứng chỉ trong kho khoá và tệp kho tin cậy:$ keytool -list -keystore keystore.node0 $ keytool -list -keystore truststore.node0