我在我的Cassandra集群上设置了节点到节点加密 . 现在我想 Build 客户端到节点 . 根据this documentation,它应该像获取我的客户端的SSL证书一样简单并将其导入到每个节点's truststore. I don' t但是这不是我的问题 .
由于我的客户端使用DataStax Java驱动程序,似乎为了从客户端启用SSL,当我构建 Cluster
时,我应该使用withSSL()方法来启用SSL . 好的,但我还需要做什么?我不熟悉JSSE,所以我不知道还有什么必要 . SSL通信是双向的,即驱动程序是否需要访问群集中每个节点的SSL证书?
1 回答
创建证书[1] .
在cassandra.yaml设置中启用客户端节点加密[2] .
为您的客户端添加SSL支持 . 有一个优秀的datastax博客,其中包含用于在客户端设置SSL连接的示例代码[3] .
您的客户的证书 . 据我所知,您似乎应该能够使用[1]中的相同密钥库和信任来供Java客户端使用 . Per [4],我知道你需要一个pcks12风格的PEM文件才能使用cqlsh .
此外,[4]提供了通过SSL连接到cassandra集群的客户端的准系统示例 . [5]是关于群集节点和客户端的证书创建示例的正确读物 .
注:如果您希望使用企业级加密,则需要启用Java Cryptography Extension . 出于法律原因,只提供相对较弱的加密 . 如果您尝试在未启用JCE的情况下使用256位加密,Cassandra和您的客户可能会抱怨 . 为 both the client and server 机器执行此操作:
下载http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html
解压缩包
将两个策略 jar 复制到JAVA_HOME中,覆盖已经存在的两个 jar :
[user@host UnlimitedJCEPolicy]$ ls local_policy.jar README.txt US_export_policy.jar [user@host UnlimitedJCEPolicy]$ export JAVA_HOME="$( readlink -f "$( which java )" | sed "s:bin/.*$::" )" [use@host UnlimitedJCEPolicy]$ echo $JAVA_HOME /usr/lib/jvm/java-1.7.0-openjdk-1.7.0.65.x86_64/jre/ [user@host UnlimitedJCEPolicy]$ cp -v *.jar $JAVA_HOME/lib/security/
[1] http://www.datastax.com/documentation/cassandra/2.0/cassandra/security/secureSSLCertificates_t.html
[2] http://www.datastax.com/documentation/cassandra/2.0/cassandra/security/secureSSLClientToNode_t.html
[3] http://www.datastax.com/dev/blog/accessing-secure-dse-clusters-with-cql-native-protocol
[4] https://github.com/PatrickCallaghan/datastax-ssl-example
[5] http://www.datastax.com/dev/blog/accessing-secure-dse-clusters-with-cql-native-protocol
[6] http://techdocs.acunu.com.s3.amazonaws.com/v5.0/admin/security/ssl.html