我在Cassandra集群上设置了节点到节点加密。现在我想建立客户端到节点。根据{{3}},它应该像获取客户端的SSL证书并将其导入每个节点的信任库一样简单。我还没有这样的证书,但这不是我的问题。
由于我的客户端使用DataStax Java驱动程序,似乎为了从客户端启用SSL,当我构建Cluster时,我应该使用this documentation方法来启用SSL。好的,但我还需要做什么?我对JSSE不熟悉,所以我不知道还有什么必要。 SSL通信是双向的,即驱动程序是否需要访问群集中每个节点的SSL证书?
答案 0 :(得分:15)
创建证书[1]。
在cassandra.yaml设置中启用客户端节点加密[2]。
为您的客户端添加SSL支持。有一个优秀的datastax博客,其中包含用于在客户端设置SSL连接的示例代码[3]。
您客户的证书。据我所知,您似乎应该能够使用[1]中的相同密钥库和信任来供Java客户端使用。 Per [4],我知道你需要一个pcks12风格的PEM文件才能使用cqlsh。
此外,[4]提供了通过SSL连接到cassandra集群的客户端的准系统示例。 [5]是关于群集节点和客户端的证书创建示例的正确读物。
N.B。如果您希望使用企业级加密,则需要启用Java Cryptography Extension 。出于法律原因,只提供相对较弱的加密。如果您尝试在未启用JCE的情况下使用256位加密,Cassandra和您的客户可能会抱怨。为客户端和服务器计算机执行此操作:
将两个策略罐复制到您的JAVA_HOME中,覆盖已经存在的两个罐子:
[user@host UnlimitedJCEPolicy]$ ls
local_policy.jar README.txt US_export_policy.jar
[user@host UnlimitedJCEPolicy]$ export JAVA_HOME="$( readlink -f "$( which java )" | sed "s:bin/.*$::" )"
[use@host UnlimitedJCEPolicy]$ echo $JAVA_HOME
/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.65.x86_64/jre/
[user@host UnlimitedJCEPolicy]$ cp -v *.jar $JAVA_HOME/lib/security/
重新启动cassandra和客户端
[1] http://www.datastax.com/documentation/cassandra/2.0/cassandra/security/secureSSLCertificates_t.html
[2] http://www.datastax.com/documentation/cassandra/2.0/cassandra/security/secureSSLClientToNode_t.html
[3] http://www.datastax.com/dev/blog/accessing-secure-dse-clusters-with-cql-native-protocol
[4] https://github.com/PatrickCallaghan/datastax-ssl-example
[5] http://www.datastax.com/dev/blog/accessing-secure-dse-clusters-with-cql-native-protocol
[6] http://techdocs.acunu.com.s3.amazonaws.com/v5.0/admin/security/ssl.html