节点间(即节点到节点)加密可保护集群中节点之间传输的数据 使用 TLS本页面介绍了如何在 Edge 上使用 TLS 为 Cassandra 节点间加密启用 Private Cloud如需执行这些步骤,您必须熟悉 Cassandra 的详细信息 响铃。
启用 Cassandra 节点间加密
请按照以下步骤启用 Cassandra 节点间加密:
按照附录中的步骤生成服务器证书 创建自签名密钥 和证书。
以下步骤假定您已创建
keystore.node0
。 和truststore.node0
, 以及密钥库和信任库密码(如附录中所述)。 应在每个节点上作为初步步骤创建密钥库和信任库,然后再继续 以及后续步骤。- 将以下属性添加到
/opt/apigee/customer/application/cassandra.properties
文件。如果该文件不存在,请创建该文件。conf_cassandra_internode_encryption=all conf_cassandra_keystore=/opt/apigee/data/apigee-cassandra/keystore.node0 conf_cassandra_keystore_password=keypass conf_cassandra_truststore=/opt/apigee/data/apigee-cassandra/truststore.node0 conf_cassandra_truststore_password=trustpass # Optionally set the following to enable 2-way TLS or mutual TLS # conf_cassandra_require_client_auth=true
- 确保文件
cassandra.properties
归 apigee 用户所有:chown apigee:apigee \ /opt/apigee/customer/application/cassandra.properties
在每个 Cassandra 节点上逐一执行以下步骤,以便使更改生效 且不会给用户造成任何停机问题:
- 停止 Cassandra 服务:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra stop
- 重启 Cassandra 服务:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra start
- 要确定 TLS 加密服务是否已启动,请查看系统日志中是否有以下消息:
Starting Encrypted Messaging Service on TLS port
执行证书轮替
如需轮替证书,请按以下步骤操作:
- 为每个生成的唯一密钥对添加证书(请参阅附录)
现有 Cassandra
节点的信任库,以使旧证书和新证书都存在于同一个
Truststore:
keytool -import -v -trustcacerts -alias NEW_ALIAS \ -file CERT -keystore EXISTING_TRUSTSTORE
其中,
NEW_ALIAS
是用于标识该条目的唯一字符串,CERT
是 证书名称 要添加的文件,以及EXISTING_TRUSTSTORE
是 Cassandra 节点上现有信任库的名称。 - 使用复制实用程序(如 scp)将信任库分发到集群中的所有 Cassandra 节点 替换每个节点正在使用的现有受信任证书存储区。
- 对集群执行滚动重启以加载新的信任库并为
新密钥:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra restart
- 在集群中的每个 Cassandra 节点上,将下方显示的属性更新为新的密钥库
添加到 cassandra.properties 文件中:
conf_cassandra_keystore=NEW_KEYSTORE_PATH conf_cassandra_keystore_password=NEW_KEYSTORE_PASSOWRD
where
NEW_KEYSTORE_PATH
is the path to the directory where the keystore file is located andNEW_KEYSTORE_PASSWORD
is the keystore password set when the certificates were created, as explained in the Appendix. - Stop the Cassandra service:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra stop
- 重启 Cassandra 服务:
/opt/apigee/apigee-service/bin/apigee-service \ apigee-cassandra start
- 当所有节点之间成功建立通信后,请继续执行下一个 Cassandra 节点。注意:仅在通信成功的情况下才前往下一个节点 所有节点之间建立的网络连接
附录
以下示例说明了如何准备执行 节点间加密步骤示例中显示的命令使用以下参数:
参数 | 说明 |
---|---|
node0 |
用于标识节点的任何唯一字符串。 |
keystore.node0 |
密钥库名称。这些命令假定此文件位于当前目录中。 |
keypass |
密钥库和密钥的密钥密码必须相同。 |
dname |
将 node0 的 IP 地址标识为 10.128.0.39 。 |
-validity |
利用此标志设置的值,可使生成的密钥对的有效期为 10 年。 |
- 转到以下目录:
cd /opt/apigee/data/apigee-cassandra
- 运行以下命令,在当前目录中生成名为
keystore.node0
的文件:keytool -genkey -keyalg RSA -alias node0 -validity 3650 \ -keystore keystore.node0 -storepass keypass \ -keypass keypass -dname "CN=10.128.0.39, OU=None, \ O=None, L=None, C=None"
重要提示:请确保密钥密码与密钥库密码相同。
- 将证书导出到单独的文件中:
keytool -export -alias node0 -file node0.cer \ -keystore keystore.node0
- 确保只有 apigee 用户可读取,而不能由其他任何人读取:
$ chown apigee:apigee \ /opt/apigee/data/apigee-cassandra/keystore.node0 $ chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node0
- 将生成的证书
node0.cer
导入到节点的信任库:keytool -import -v -trustcacerts -alias node0 \ -file node0.cer -keystore truststore.node0
上述命令会要求您设置密码。这是信任库密码, 不同于您之前设置的密钥库密码。如果系统提示您信任该证书, 输入
yes
。 - 使用 openssl 生成不含密钥的证书的 PEM 文件。请注意,
cqlsh
无法与所生成的证书搭配使用。$ keytool -importkeystore -srckeystore keystore.node0 \ -destkeystore node0.p12 -deststoretype PKCS12 -srcstorepass \ keypass -deststorepass keypass $ openssl pkcs12 -in node0.p12 -nokeys -out node0.cer.pem \ -passin pass:keypass $ openssl pkcs12 -in node0.p12 -nodes -nocerts -out node0.key.pem -passin pass:keypass
- 对于节点到节点加密,请将
node0.cer
文件复制到每个节点并将其导入 复制到每个节点的信任库keytool -import -v -trustcacerts -alias node0 \ -file node0.cer -keystore truststore.node1
- 使用
keytool -list
检查密钥库和信任库文件中的证书:$ keytool -list -keystore keystore.node0 $ keytool -list -keystore truststore.node0