启用 Cassandra 节点间加密

节点间(即节点到节点)加密可保护集群中节点之间传输的数据 使用 TLS本页面介绍了如何在 Edge 上使用 TLS 为 Cassandra 节点间加密启用 Private Cloud如需执行这些步骤,您必须熟悉 Cassandra 的详细信息 响铃。

启用 Cassandra 节点间加密

请按照以下步骤启用 Cassandra 节点间加密:

  1. 按照附录中的步骤生成服务器证书 创建自签名密钥 和证书。

    以下步骤假定您已创建 keystore.node0。 和truststore.node0, 以及密钥库和信任库密码(如附录中所述)。 应在每个节点上作为初步步骤创建密钥库和信任库,然后再继续 以及后续步骤。

  2. 将以下属性添加到 /opt/apigee/customer/application/cassandra.properties 文件。如果该文件不存在,请创建该文件。
      conf_cassandra_server_encryption_internode_encryption=all
      conf_cassandra_server_encryption_keystore=/opt/apigee/data/apigee-cassandra/keystore.node0
      conf_cassandra_server_encryption_keystore_password=keypass
      conf_cassandra_server_encryption_truststore=/opt/apigee/data/apigee-cassandra/truststore.node0
      conf_cassandra_server_encryption_truststore_password=trustpass
      # Optionally set the following to enable 2-way TLS or mutual TLS
      conf_cassandra_server_encryption_require_client_auth=true
  3. 确保文件 cassandra.properties 归 apigee 用户所有:
    chown apigee:apigee \
    /opt/apigee/customer/application/cassandra.properties

在每个 Cassandra 节点上逐一执行以下步骤,以便使更改生效 且不会给用户造成任何停机问题:

  1. 停止 Cassandra 服务:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra stop
  2. 重启 Cassandra 服务:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra start
  3. 要确定 TLS 加密服务是否已启动,请查看系统日志中是否有以下消息:
    Starting Encrypted Messaging Service on TLS port

执行证书轮替

如需轮替证书,请按以下步骤操作:

  1. 为每个生成的唯一密钥对添加证书(请参阅附录) 现有 Cassandra 节点的信任库,以使旧证书和新证书都存在于同一个 Truststore:
    keytool -import -v -trustcacerts -alias NEW_ALIAS \
    -file CERT -keystore EXISTING_TRUSTSTORE

    其中,NEW_ALIAS 是用于标识该条目的唯一字符串,CERT 是 证书名称 要添加的文件,以及 EXISTING_TRUSTSTORE 是 Cassandra 节点上现有信任库的名称。

  2. 使用复制实用程序(如 scp)将信任库分发到集群中的所有 Cassandra 节点 替换每个节点正在使用的现有受信任证书存储区。
  3. 对集群执行滚动重启以加载新的信任库并为 新密钥:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra restart
  4. 在集群中的每个 Cassandra 节点上,将下方显示的属性更新为新的密钥库 添加到 cassandra.properties 文件中:
    conf_cassandra_server_encryption_keystore=NEW_KEYSTORE_PATH
    conf_cassandra_server_encryption_keystore_password=NEW_KEYSTORE_PASSWORD
    

    where NEW_KEYSTORE_PATH is the path to the directory where the keystore file is located and NEW_KEYSTORE_PASSWORD is the keystore password set when the certificates were created, as explained in the Appendix.

  5. Stop the Cassandra service:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra stop
  6. 重启 Cassandra 服务:
    /opt/apigee/apigee-service/bin/apigee-service \
    apigee-cassandra start
  7. 当所有节点之间成功建立通信后,请继续执行下一个 Cassandra 节点。注意:仅在通信成功的情况下才前往下一个节点 所有节点之间建立的网络连接

附录

以下示例说明了如何准备执行 节点间加密步骤示例中显示的命令使用以下参数:

参数 说明
node0 用于标识节点的任何唯一字符串。
keystore.node0 密钥库名称。这些命令假定此文件位于当前目录中。
keypass 密钥库和密钥的密钥密码必须相同。
dname node0 的 IP 地址标识为 10.128.0.39
-validity 利用此标志设置的值,可使生成的密钥对的有效期为 10 年。
  1. 转到以下目录:
    cd /opt/apigee/data/apigee-cassandra
  2. 运行以下命令,在当前目录中生成名为 keystore.node0 的文件:
    keytool -genkey -keyalg RSA -alias node0 -validity 3650 \
    -keystore keystore.node0 -storepass keypass \
    -keypass keypass -dname "CN=10.128.0.39, OU=None, \
    O=None, L=None, C=None"

    重要提示:请确保密钥密码与密钥库密码相同。

  3. 将证书导出到单独的文件中:
    keytool -export -alias node0 -file node0.cer \
    -keystore keystore.node0
  4. 确保只有 apigee 用户可读取,而不能由其他任何人读取:
    $ chown apigee:apigee \
    /opt/apigee/data/apigee-cassandra/keystore.node0
    $ chmod 400 /opt/apigee/data/apigee-cassandra/keystore.node0
  5. 将生成的证书 node0.cer 导入到节点的信任库:
    keytool -import -v -trustcacerts -alias node0 \
    -file node0.cer -keystore truststore.node0

    上述命令会要求您设置密码。这是信任库密码, 不同于您之前设置的密钥库密码。如果系统提示您信任该证书, 输入 yes

  6. 使用 openssl 生成不含密钥的证书的 PEM 文件。请注意,cqlsh 无法与所生成的证书搭配使用。
    $ keytool -importkeystore -srckeystore keystore.node0 \
    -destkeystore node0.p12 -deststoretype PKCS12 -srcstorepass \
    keypass -deststorepass keypass
    $ openssl pkcs12 -in node0.p12 -nokeys -out node0.cer.pem \
    -passin pass:keypass
    $ openssl pkcs12 -in node0.p12 -nodes -nocerts -out node0.key.pem -passin pass:keypass
  7. 对于节点到节点加密,请将 node0.cer 文件复制到每个节点并将其导入 复制到每个节点的信任库
    keytool -import -v -trustcacerts -alias node0 \
    -file node0.cer -keystore truststore.node1
  8. 使用 keytool -list 检查密钥库和信任库文件中的证书:
    $ keytool -list -keystore keystore.node0
    $ keytool -list -keystore truststore.node0