具有自己的证书颁发机构的Cassandra SSL

Question

我想设置自己的CA以与cassandra集群一起使用,这样我每次添加新节点时都不必复制所有证书.我已经阅读了一些Cassandra和SSL的教程,但它们都可以复制证书.我在CA流程中有点迷失

这是我认为我需要做的

• 创建一次CA.
• 为每个节点创建一个CSR,然后使用我的CA对每个节点进行签名( - >另存为nodeX.crt)
• 将node0.crt导入我的cassandra node0密钥库,将node1.crt导入node1密钥库等

现在:

• 我是否需要向信任库添加任何内容？
• 我是否需要对CA文件执行任何操作？将其复制到每个客户端/节点服务器？
• 我需要什么文件来提供我的Java客户端？cqlsh客户端？

优点:不再在节点之间复制ssl证书.每个节点只需一个,然后就可以了.

编辑:

好的,我就这样做了.如果我犯了任何错误,请告诉我.我遗漏了像JCE文件和适当的cassandra.yaml配置之类的东西.这些需要出现在服务器上!

openssl genrsa -out clusterCA.key 2048
openssl req -x509 -new -key clusterCA.key -days <DAYS> -out clusterCA.pem

keytool -importcert -alias clusterCA -file clusterCA.pem -keystore clustertruststore -storepass <PASS>

#on each cassandra host for clients. for client replace nodename with clientname
keytool -genkeypair -alias <NODENAME> -keyalg RSA -keysize 2048 -dname "CN=<NODENAME>,OU=<UNITNAME>,O=<ORGANISATION>" -keypass <PASS> -keystore <NODENAME>.keystore -storepass <PASS> -validity <DAYS>

keytool -keystore <NODENAME>.keystore -alias <NODENAME> -certreq -file <NODENAME>.cert -storepass <PASS> -keypass <PASS>


# sign it with CA

openssl x509 -req -CA clusterCA.pem -CAkey clusterCa.key -in <NODENAME>.cert -out <NODENAME>.signed -days <DAYS> -CAcreateserial

# add rootCA to host

keytool -keystore <NODENAME>.keystore -storepass <PASS> -alias clusterCA -import -file clusterCA.pem -noprompt

keytool -keystore <NODENAME>.keystore -storepass <PASS> -alias <NODENAME> -import -file <NODENAME>.signed -keypass <PASS>

## use <NODENAME>.keystore as truststore and keystore for cassandra node / client trust/keystore
## No need to copy keystores around. You only need it on your host


## create CQLSH pem
keytool -importkeystore -srckeystore <NODENAME>.keystore -destkeystore <NODENAME>_user1.p12 -deststoretype PKCS12
openssl pkcs12 -in <NODENAME>_user1.p12 -out <NODENAME>_user1.pem -nodes

##  use <NODENAME>_user1.pem as certfile for cqlsh

Answer 1

你的策略非常合理,这就是我的方式.您希望拥有自己的证书颁发机构,然后为每个节点创建CSR.这比单独信任节点证书更容易管理.

• 每个节点都有自己的密钥库来存储它的证书.
• 您希望每个节点都在其信任库中拥有CA公共证书.仅当您将'require_client_auth'设置为true时才会这样.我建议这样做,因为设置起来并不困难,并增加了额外的识别层,这应该被认为是重要的.

区分节点间加密和客户端加密也很重要.Cassandra为每个设置有不同的设置(在上面的链接中记录).如果使用客户端到节点加密,您还需要拥有客户端证书的信任库.您可以使用相同的信任库,也可以向客户端颁发证书.

在客户端到节点端,这里是 java驱动程序测试如何使用密钥和信任库设置SSLContext 的示例:

/**
 * @param keyStorePath Path to keystore, if absent is not used.
 * @param trustStorePath Path to truststore, if absent is not used.
 * @return {@link com.datastax.driver.core.SSLOptions} with the given keystore and truststore path's for
 * server certificate validation and client certificate authentication.
 */
public SSLOptions getSSLOptions(Optional<String> keyStorePath, Optional<String> trustStorePath) throws Exception {

    TrustManagerFactory tmf = null;
    if(trustStorePath.isPresent()) {
        KeyStore ks = KeyStore.getInstance("JKS");
        ks.load(this.getClass().getResourceAsStream(trustStorePath.get()), DEFAULT_CLIENT_TRUSTSTORE_PASSWORD.toCharArray());

        tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
    }

    KeyManagerFactory kmf = null;
    if(keyStorePath.isPresent()) {
        KeyStore ks = KeyStore.getInstance("JKS");
        ks.load(this.getClass().getResourceAsStream(keyStorePath.get()), DEFAULT_CLIENT_KEYSTORE_PASSWORD.toCharArray());

        kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        kmf.init(ks, DEFAULT_CLIENT_KEYSTORE_PASSWORD.toCharArray());
    }

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(kmf != null ? kmf.getKeyManagers() : null, tmf != null ? tmf.getTrustManagers() : null, new SecureRandom());

    return new SSLOptions(sslContext, SSLOptions.DEFAULT_SSL_CIPHER_SUITES);
}

一旦成为SSLOptions对象,您就可以将其简单地传递到Cluster Builder中,即:

cluster = Cluster.builder()
    .addContactPoint(host)
    .withSSL(sslOptions))
    .build();

CQLSH通过cqlshrc文件支持SSL.您可以在此处找到如何设置的示例.