具有自己的证书颁发机构的Cassandra SSL

时间:2015-05-27 17:13:02

标签: java ssl cassandra

我想设置自己的CA以与cassandra集群一起使用,这样我每次添加新节点时都不必复制所有证书。我已经阅读了一些Cassandra和SSL的教程,但它们都可以复制证书。我在CA流程中有点迷失

这是我认为我需要做的事情

  • 创建一次CA
  • 为每个节点创建一个CSR,然后使用我的CA签名(>另存为nodeX.crt)
  • 将node0.crt导入我的cassandra node0密钥库,将node1.crt导入node1密钥库等

现在:

  • 我是否需要向信任库添加任何内容?
  • 我是否需要对CA文件执行任何操作?将其复制到每个客户端/节点服务器?
  • 我需要为java客户端提供哪些文件? cqlsh客户端?

优点:不再在节点之间复制ssl证书。每个节点只需一个,然后就可以了。

编辑:

好的,我就这样做了。如果我犯了任何错误,请告诉我。我遗漏了像JCE文件和适当的cassandra.yaml配置之类的东西。这些必须存在于服务器上!

openssl genrsa -out clusterCA.key 2048
openssl req -x509 -new -key clusterCA.key -days <DAYS> -out clusterCA.pem

keytool -importcert -alias clusterCA -file clusterCA.pem -keystore clustertruststore -storepass <PASS>

#on each cassandra host for clients. for client replace nodename with clientname
keytool -genkeypair -alias <NODENAME> -keyalg RSA -keysize 2048 -dname "CN=<NODENAME>,OU=<UNITNAME>,O=<ORGANISATION>" -keypass <PASS> -keystore <NODENAME>.keystore -storepass <PASS> -validity <DAYS>

keytool -keystore <NODENAME>.keystore -alias <NODENAME> -certreq -file <NODENAME>.cert -storepass <PASS> -keypass <PASS>


# sign it with CA

openssl x509 -req -CA clusterCA.pem -CAkey clusterCa.key -in <NODENAME>.cert -out <NODENAME>.signed -days <DAYS> -CAcreateserial

# add rootCA to host

keytool -keystore <NODENAME>.keystore -storepass <PASS> -alias clusterCA -import -file clusterCA.pem -noprompt

keytool -keystore <NODENAME>.keystore -storepass <PASS> -alias <NODENAME> -import -file <NODENAME>.signed -keypass <PASS>

## use <NODENAME>.keystore as truststore and keystore for cassandra node / client trust/keystore
## No need to copy keystores around. You only need it on your host


## create CQLSH pem
keytool -importkeystore -srckeystore <NODENAME>.keystore -destkeystore <NODENAME>_user1.p12 -deststoretype PKCS12
openssl pkcs12 -in <NODENAME>_user1.p12 -out <NODENAME>_user1.pem -nodes

##  use <NODENAME>_user1.pem as certfile for cqlsh

2 个答案:

答案 0 :(得分:5)

你的策略非常合理,这就是我的方式。您希望拥有自己的证书颁发机构,然后为每个节点创建CSR。这比单独信任节点证书更容易管理。

  • 每个节点都有自己的密钥库存储它的证书。
  • 您希望每个节点都在其信任库中拥有CA公共证书。只有当您有'require_client_auth&#39;设为true。我建议这样做,因为设置起来并不困难,并增加了额外的识别层,这应该被认为是重要的。

区分internode encryptionclient encryption也很重要。 Cassandra为每个设置有不同的设置(在上面的链接中记录)。如果使用客户端到节点加密,您还需要拥有客户端证书的信任库。您可以使用相同的信任库,也可以向客户端颁发证书。

在java驱动程序的客户端到节点端here's an example测试如何使用密钥和信任库来设置SSLContext:

/**
 * @param keyStorePath Path to keystore, if absent is not used.
 * @param trustStorePath Path to truststore, if absent is not used.
 * @return {@link com.datastax.driver.core.SSLOptions} with the given keystore and truststore path's for
 * server certificate validation and client certificate authentication.
 */
public SSLOptions getSSLOptions(Optional<String> keyStorePath, Optional<String> trustStorePath) throws Exception {

    TrustManagerFactory tmf = null;
    if(trustStorePath.isPresent()) {
        KeyStore ks = KeyStore.getInstance("JKS");
        ks.load(this.getClass().getResourceAsStream(trustStorePath.get()), DEFAULT_CLIENT_TRUSTSTORE_PASSWORD.toCharArray());

        tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
    }

    KeyManagerFactory kmf = null;
    if(keyStorePath.isPresent()) {
        KeyStore ks = KeyStore.getInstance("JKS");
        ks.load(this.getClass().getResourceAsStream(keyStorePath.get()), DEFAULT_CLIENT_KEYSTORE_PASSWORD.toCharArray());

        kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(ks, DEFAULT_CLIENT_KEYSTORE_PASSWORD.toCharArray());
    }

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(kmf != null ? kmf.getKeyManagers() : null, tmf != null ? tmf.getTrustManagers() : null, new SecureRandom());

    return new SSLOptions(sslContext, SSLOptions.DEFAULT_SSL_CIPHER_SUITES);
}

一旦成为SSLOptions对象,您就可以将其简单地传递到Cluster Builder中,即:

cluster = Cluster.builder()
    .addContactPoint(host)
    .withSSL(sslOptions))
    .build();

CQLSH通过cqlshrc文件支持SSL。您可以找到如何设置here的示例。

答案 1 :(得分:0)

请原谅,我有 0 个代表,所以无法发表评论。我正在回应我刚才遵循的优秀说明的这一部分:

## create CQLSH pem
keytool -importkeystore -srckeystore <NODENAME>.keystore -destkeystore <NODENAME>_user1.p12 -deststoretype PKCS12
openssl pkcs12 -in <NODENAME>_user1.p12 -out <NODENAME>_user1.pem -nodes

IMO 如果您要将这个 pem 提供给用户或应用程序,他们不需要将放置在 pem 中的私钥,除非您添加: -nokeys

希望能帮到你。自从我为 SO 做出贡献以来,已经有 10 年了。 :)

相关问题
最新问题