Certificados y claves personalizados

A continuación se indican los requisitos de los certificados personalizados para nodos individuales.

  • El certificado y la clave deben estar en formato PEM.
  • Todos los certificados deben estar firmados por la misma Autoridad de Certificación.
  • Todos los nombres de dominio y entradas que se especifiquen en el campo Subject Alternative Name (SAN) deben ser correctos.
  • El certificado debe tener 127.0.0.1 y localhost en la SAN.
  • Debe haber una contraseña y no debe tener ningún espacio en blanco al final o al principio.
Nota: Puede proporcionar una clave cifrada si la contraseña es la misma que la prevista en pkcs8. El script descifra la clave para su uso con NRS. La contraseña de la clave pkcs8 es para satisfacer un requisito estricto de Kafka. El script toma la clave sin cifrar para generar una clave cifrada pkcs8 con la contraseña suministrada para Kafka y para otra configuración. La clave sin cifrar se utiliza con replmgmt y nzdr.

Orientaciones sobre SAN

Utilice un archivo domain.ext para especificar la SAN al crear certificados de nodo.

Por ejemplo:
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = your.fqdn.here.com
DNS.2 = alternate.short.name
DNS.3 = localhost
IP.1 = 127.0.0.1authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = your.fqdn.here.com
DNS.2 = alternate.short.name
DNS.3 = localhost
IP.1 = 127.0.0.1

Gestión de definiciones de certificados, claves y contraseñas

Para gestionar certificados, claves y contraseñas, utilice un único archivo de configuración para todo el sistema de nodos de replicación. En este archivo puede listar todos los certificados, claves y ubicaciones de archivos de contraseñas para cada uno de sus nodos de replicación en un formato YAML.

Una vez generados los certificados, las claves y la contraseña y copiados en todos los nodos de replicación, utilice este archivo YAML para desplegarlos utilizando la herramienta nrscertmgr después de la instalación o durante el despliegue inicial utilizando la herramienta cpds_deploynrs.

La estructura del archivo en formato YAML se muestra en el siguiente ejemplo.

certs:
  cacert: 
    cert: /path/to/cacert.pem # CA Certificate that signed the below certificate. 
  nodes:
    nodeA:
      cert: /path/to/nodeA_certificate.pem # Certificate for nodeA
      key: /path/to/nodeA_certificate_key.pem # Key for above
      password: /root/certs/nodeA_certificate_key_passfile # Password for above
    nodeB:
      cert: /path/to/nodeB_certificate.pem # Certificate for nodeB
      key: /path/to/nodeB_certificate_key.pem # Key for above
      password: /root/certs/nodeB_certificate_key_passfile # Password for above
Cada nodo sólo se ocupa de sus propios certificados y del certificado de la CA. Por ejemplo:
certs:
  cacert: 
    cert: /root/certs/cacert.pem
  nodes:
    e1-nrs:
      cert: /root/certs/e1-nrs.pem
      key: /root/certs/e1-nrs_key.pem
      password: /root/certs/e1-nrs_pass
    e2-nrs:
      cert: /root/certs/e2-nrs.pem
      key: /root/certs/e2-nrs_key.pem
      password: /root/certs/e2-nrs_pass