Activer le chiffrement internœuds Cassandra

Le chiffrement entre nœuds (ou de nœud à nœud) protège les données circulant entre les nœuds d'un cluster à l'aide du protocole TLS. Cette page explique comment activer le chiffrement entre les nœuds Cassandra à l'aide de TLS on Edge pour Private Cloud. Pour effectuer ces étapes, vous devez connaître les détails de votre environnement Cassandra son anneau.

Activer le chiffrement entre les nœuds Cassandra

Pour activer le chiffrement entre les nœuds Cassandra, procédez comme suit:

  1. Générez des certificats de serveur en suivant la procédure décrite dans l'annexe. pour créer une clé autosignée et le certificat.

    Les étapes suivantes supposent que vous avez créé keystore.node0 et truststore.node0, ainsi que les mots de passe keystore et truststore, comme expliqué dans l'annexe. Le keystore et le truststore doivent être créés en tant qu'étapes préliminaires sur chaque nœud avant de continuer avec les prochaines étapes.

  2. Ajoutez les propriétés suivantes à /opt/apigee/customer/application/cassandra.properties . Si le fichier n'existe pas, créez-le.
      conf_cassandra_server_encryption_internode_encryption=all
      conf_cassandra_server_encryption_keystore=/opt/apigee/data/apigee-cassandra/keystore.node0
      conf_cassandra_server_encryption_keystore_password=keypass
      conf_cassandra_server_encryption_truststore=/opt/apigee/data/apigee-cassandra/truststore.node0
      conf_cassandra_server_encryption_truststore_password=trustpass
      # Optionally set the following to enable 2-way TLS or mutual TLS
      conf_cassandra_server_encryption_require_client_auth=true
  3. Assurez-vous que le fichier cassandra.properties appartient à l'utilisateur Apigee:
    chown apigee:apigee \
    /opt/apigee/customer/application/cassandra.properties

Exécutez les étapes suivantes sur chaque nœud Cassandra, l'une après l'autre, pour que les modifications soient prises en compte. sans entraîner de temps d'arrêt pour les utilisateurs:

  1. Arrêtez le service Cassandra:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra stop
  2. Redémarrez le service Cassandra:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra start
  3. Pour déterminer si le service de chiffrement TLS a démarré, recherchez le message suivant dans les journaux système:
    Starting Encrypted Messaging Service on TLS port

Effectuer une rotation des certificats

Pour alterner des certificats, procédez comme suit:

  1. Ajoutez le certificat pour chaque paire de clés unique générée (voir l'annexe). à un cluster Cassandra existant le magasin de confiance du nœud, de sorte que les anciens et les nouveaux certificats existent dans le même truststore:
    keytool -import -v -trustcacerts -alias NEW_ALIAS \
    -file CERT -keystore EXISTING_TRUSTSTORE

    NEW_ALIAS est une chaîne unique permettant d'identifier l'entrée, CERT correspond à le nom du certificat fichier à ajouter et EXISTING_TRUSTSTORE est le nom du Truststore existant sur le nœud Cassandra.

  2. Utilisez un utilitaire de copie, tel que scp, pour distribuer le truststore à tous les nœuds Cassandra du cluster remplaçant le Truststore existant utilisé par chaque nœud.
  3. Effectuez un redémarrage progressif du cluster afin de charger le nouveau truststore et d'établir l'approbation pour le nouvelles clés avant qu'elles ne soient mises en place:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra restart
  4. Sur chaque nœud Cassandra du cluster, remplacez les propriétés indiquées ci-dessous par le nouveau keystore. dans le fichier cassandra.properties:
    conf_cassandra_server_encryption_keystore=NEW_KEYSTORE_PATH
    conf_cassandra_server_encryption_keystore_password=NEW_KEYSTORE_PASSWORD
    

    where NEW_KEYSTORE_PATH is the path to the directory where the keystore file is located and NEW_KEYSTORE_PASSWORD is the keystore password set when the certificates were created, as explained in the Appendix.

  5. Stop the Cassandra service:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra stop
  6. Redémarrez le service Cassandra:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra start
  7. Une fois la communication établie entre tous les nœuds, passez à la Nœud Cassandra. Remarque:Ne passez au nœud suivant que si la communication réussit. entre tous les nœuds.

Annexe

L'exemple suivant explique comment préparer les certificats de serveur requis pour effectuer l'opération le chiffrement entre les nœuds. Les commandes présentées dans l'exemple utilisent les paramètres suivants:

Paramètre Description
node0 Toute chaîne unique permettant d'identifier le nœud.
keystore.node0 Nom du keystore. Les commandes supposent que ce fichier se trouve dans le répertoire actuel.
keypass La transmission de clés doit être identique pour le keystore et la clé.
dname Identifie l'adresse IP de node0 comme 10.128.0.39.
-validity La valeur définie pour cet indicateur rend la paire de clés générée valide pendant 10 ans.
  1. Accédez au répertoire suivant:
    cd /opt/apigee/data/apigee-cassandra
  2. Exécutez la commande suivante pour générer un fichier nommé keystore.node0 dans le répertoire actuel:
    keytool -genkey -keyalg RSA -alias node0 -validity 3650 \
    -keystore keystore.node0 -storepass keypass \
    -keypass keypass -dname "CN=10.128.0.39, OU=None, \
    O=None, L=None, C=None"

    Important:Assurez-vous que le mot de passe de la clé est identique à celui du keystore.

  3. Exportez le certificat dans un fichier distinct:
    keytool -export -alias node0 -file node0.cer \
    -keystore keystore.node0
  4. Assurez-vous que le fichier est lisible uniquement par l'utilisateur Apigee et par personne d'autre:
    $ chown apigee:apigee \
    /opt/apigee/data/apigee-cassandra/keystore.node0
    $ chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node0
  5. Importez le certificat généré node0.cer dans le Truststore du nœud:
    keytool -import -v -trustcacerts -alias node0 \
    -file node0.cer -keystore truststore.node0

    La commande ci-dessus vous demande de définir un mot de passe. Il s’agit du mot de passe Truststore et peut différent du mot de passe du keystore que vous avez défini précédemment. Si vous êtes invité à faire confiance au certificat, saisissez yes.

  6. Utilisez OpenSSL pour générer un fichier PEM du certificat sans clé. Notez que cqlsh ne fonctionne pas avec le certificat au format généré.
    $ keytool -importkeystore -srckeystore keystore.node0 \
    -destkeystore node0.p12 -deststoretype PKCS12 -srcstorepass \
    keypass -deststorepass keypass
    $ openssl pkcs12 -in node0.p12 -nokeys -out node0.cer.pem \
    -passin pass:keypass
    $ openssl pkcs12 -in node0.p12 -nodes -nocerts -out node0.key.pem -passin pass:keypass
  7. Pour le chiffrement de nœud à nœud, copiez le fichier node0.cer sur chaque nœud et importez-le au Truststore de chaque nœud.
    keytool -import -v -trustcacerts -alias node0 \
    -file node0.cer -keystore truststore.node1
  8. Utilisez keytool -list pour rechercher les certificats dans les fichiers keystore et truststore:
    $ keytool -list -keystore keystore.node0
    $ keytool -list -keystore truststore.node0