Securing Communication with TLS Certificates: A Definitive Guide for Couchbase Server (Part 3 of 3)

Entendiendo TLS dentro de Couchbase Server

En Parte 1 y Parte 2 de esta guía, explicamos la historia de TLS, los componentes involucrados y cómo funciona. En esta 3ª parte final de la guía combinamos todo esto y aprendemos cómo funciona TLS en Couchbase Server.

Certificados de clúster Couchbase

En Couchbase Server, un certificado de cluster vincula todo a una o más Autoridades de Certificación (CAs) de confianza; no maneja directamente la encriptación de la base de datos. En su lugar, establece una cadena de confianza para los certificados por nodo dentro del clúster.

Todas las partes confiantes en el despliegue de Couchbase Server deben tener el Certificado de Cluster instalado y de confianza. Igual que en el ejemplo anterior con el navegador web teniendo CAs raíz de confianza, en un despliegue de Couchbase cada Nodo de Couchbase Server y cada aplicación conectada usando uno de los SDKs debe confiar en el Certificado de Cluster. También se importa a Clusters de Servidores Couchbase adicionales que usan la característica de replicación entre centros de datos (XDCR) para replicar datos entre los clusters de forma segura.

En Couchbase Capella, nuestra oferta de Base de Datos como Servicio (DBaaS), todos los clusters usan la misma autoridad de certificación, y por lo tanto todos usan el mismo Certificado de Cluster. Y, desde principios de 2022, todos los SDKs oficiales de Couchbase lanzados desde entonces han incluido, por defecto, la confianza automática en el Certificado de Cluster de Capella.

Certificados de nodo para cifrado de red

Los Certificados de Nodo y las claves privadas por nodo son el componente principal responsable de la encriptación de red en Couchbase Server. Los Certificados de Nodo son creados por una Autoridad Certificadora (CA) de confianza y son firmados por la Clave Privada de la CA (también conocida como la Clave Privada asociada con la Clave Pública/Cert del Cluster).

Este es el proceso de creación de un Certificado de Nodo Couchbase.

1. Se solicita una Solicitud de Firma de Certificado (CSR) a la Autoridad de Certificación con una Clave Pública de Nodo incrustada.
2. Se crea el Certificado del Nodo, incluyendo la Clave Pública del Nodo incrustada y ésta se firma utilizando la Clave Privada del Cluster en el propio sistema CA.
3. El certificado de nodo se devuelve al solicitante.

Estos certificados facilitan la comunicación segura entre nodos del servidor Couchbase y permiten la conectividad encriptada con nodos individuales del servidor Couchbase desde SDKs. Los puntos clave sobre los certificados de nodo incluyen:

Cifrado de nodo a nodo: Los certificados de nodo aseguran los canales de comunicación entre los nodos del servidor Couchbase, salvaguardando los datos mientras viajan dentro del clúster.

Conectividad SDK: Cuando los SDKs se conectan a nodos individuales del servidor Couchbase, los certificados de nodo aseguran que la comunicación está encriptada, manteniendo la confidencialidad de los datos.

Acceso a la interfaz gráfica de administración a través de HTTPS: Utilizando el certificado de nodo, los administradores pueden acceder de forma segura a la interfaz gráfica de usuario (GUI) del Servidor Couchbase a través de HTTPS.

Si miramos un ejemplo de cómo un SDK hace una conexión encriptada a un nodo del Servidor Couchbase, verás los varios componentes trabajando. Intencionalmente he omitido algunos detalles, para mantenerlo algo simple.

El SDK realizará estos pasos con cada Nodo del Servidor Couchbase a través del cluster con el que establezca una conexión TLS.

Ejemplo de configuración de TLS en Couchbase Server

En esta sección configuraremos la encriptación de red TLS en un cluster de 3 nodos de Couchbase Server, ejecutando la versión 7.2.0 en hosts Linux. También hay un cuarto host Linux utilizado como Autoridad de Certificación.

Clave privada de clúster + certificado

Inicie sesión en el host de la Autoridad de Certificación, aquí es donde crearemos el certificado de clúster.

Esto es sólo un host Linux que tiene instalada una versión actual de OpenSSL.

Primero crearemos un archivo de plantilla Couchbase que se utilizará más adelante para los certificados por nodo.

Comando (sin salida)

cat > cbserver.ext <<EOF
basicConstraints=CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
extendedKeyUsage=serverAuth
keyUsage = digitalSignature,keyEncipherment
EOF

cat > cbserver.ext <<EOF

basicConstraints=CA:FALSO

subjectKeyIdentifier = hash

authorityKeyIdentifier = keyid,emisor:siempre

extendedKeyUsage=serverAuth

keyUsage = firma digital,cifrado de claves

EOF

El siguiente paso será crear la Clave Privada de Cluster encriptada, denominada cluster_private.key.

Ejecute el siguiente comando, se le pedirá una frase de contraseña para cifrar esta clave.

La clave privada estará en formato PKCS8 (PKCS #8) y cifrada con el muy seguro 265 bit Estándar de cifrado avanzado (AES).

Comando

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -aes256 -out cluster_private.key

1	openssl genpkey -algoritmo RSA -pkeyopt rsa_keygen_bits:2048 -aes256 -fuera cluster_privado.clave

Salida

.................................................+++++
....+++++
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

.................................................+++++

....+++++

Entre en PEM pase frase:

Verificación de - Entre en PEM pase frase:

Puedes validar que es una clave privada encriptada, mirando al principio del archivo.

Comando

head cluster_private.key

1	cabeza cluster_privado.clave

Salida

-----COMENZAR ENCRYPTED PRIVADO CLAVE-----

MIIFLTBXBgkqhkiG9w0BBQ0wSjApBgkqhkiG9w0BBQwwHAQI7V+8dCGg42oCAggA

MAwGCCqGSIb3DQIJBQAwHQYJYIZIAWUDBAEqBBAvcj4Z3cB/j2gIudgzhRgSBIIE

0HFbApMtub0oadBYkx7RHPxd4jpILoTJ2nwqYtn79r/fCf1KwwwcWAd6vXOC0EeH

0acalU4ZfMF756CafORL7mfnB7VIw2ht5ObsUpCiYu9cIh8tHK2bipIELKMKfCT3

ljxjOn/AEZIqWy6RmwV375Ri3RONBT+czGIs4FXUA8TY/ZHlOw46yYxpxPefkRLU

H9bfcg8RLqPKfeAOprisHNhmoch0MuU0gS6U0Lt+KvNDWNylIQba94q36FQIE3YW

OVlHkgB2/YCx9BR/ZnWlIK6I/ZrN6Z4u/n9hFY/oYrxj4RIorvJyjeSq52XzVrPd

1bTeZob/MJomNhyeW0SYbUsRV/40N11wzx5tkSftuP8zs9MzP36qspDq56rl3W5H

grKM7c9Dn+BLQbHz4158Wxaxz2CzTsn5IT5Q6BP27StrTGMYeHSAX32D+s313kPw

Ahora crearemos el certificado del clúster en formato PEM x.509. En nuestro caso, el certificado será autofirmado, lo que significa que no será avalado por ninguna otra autoridad. Esto significa que puede crearse directamente, basándose en la clave privada existente clave.casin ayuda de terceros.

Cuando creamos el certificado de clúster, válido durante 3650 días (10 años), tendrá una clave pública de clúster incrustada en el certificado que es el par correspondiente de la clave cluster_private.key realizada anteriormente. Tendrá que proporcionar la frase de contraseña que introdujo anteriormente para descifrar ahora la clave privada para este comando.

Comando

openssl req -new -x509 -days 3650 -sha256 -key cluster_private.key -out cluster_cert.pem -subj "/CN=Couchbase Root CA"

1	openssl consulte -nuevo -x509 -días 3650 -sha256 -clave cluster_privado.clave -fuera cluster_cert.pem -subj "/CN=Couchbase Root CA"

Salida

Enter pass phrase for cluster_private.key:

1	Entre en pase frase para cluster_privado.clave:

Ahora podemos imprimir el contenido del nuevo archivo cert (y ver también la clave pública).

Comando

openssl x509 -text -noout -in ./cluster_cert.pem

1	openssl x509 -texto -sin -en ./cluster_cert.pem

Salida

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            7e:a6:19:80:11:8c:b2:12:cc:86:91:bd:9b:df:f1:2f:75:ef:50:07
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN = Couchbase Root CA
        Validity
            Not Before: Jul 26 12:26:06 2023 GMT
            Not After : Jul 23 12:26:06 2033 GMT
        Subject: CN = Couchbase Root CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:a6:51:f9:d5:6f:40:06:b3:b5:5b:55:b5:a0:82:
                    2a:73:7a:0d:a8:02:1f:82:24:ed:c7:99:51:0a:d9:
                    f8:09:08:0e:24:e0:34:fe:ef:0f:53:dd:27:19:af:
                    a1:0d:78:14:03:3e:26:2e:c0:44:35:fb:c7:84:57:
                    ad:66:be:95:d4:53:71:8c:24:30:26:46:6e:03:b9:
                    b9:e9:b1:a1:fa:f9:7f:bd:88:f8:03:3e:20:dc:3a:
                    29:dd:0d:2c:a3:0b:8e:22:46:49:ca:56:dc:b7:17:
                    f9:87:12:d2:df:80:b8:35:df:19:4f:0d:f4:b2:9d:
                    02:9e:2c:59:e4:25:98:05:85:cd:e8:64:04:43:1f:
                    79:35:fb:ae:8b:e8:cd:16:24:68:90:9f:32:d5:d3:
                    5f:b0:11:82:3f:a3:7a:83:d8:e2:c5:92:a5:ef:8f:
                    e2:4e:b2:8f:c1:27:04:92:3c:6d:50:88:82:5b:73:
                    e8:17:7b:03:c7:f3:98:71:dd:99:ed:84:f9:37:3a:
                    67:79:d3:fa:6a:a4:2e:69:25:a1:2c:79:39:40:e5:
                    51:2c:57:02:be:c0:d6:43:7f:d5:ce:c9:cb:ee:68:
                    a6:ad:13:17:22:d1:16:8b:08:17:ba:25:80:ce:9a:
                    e8:a5:fc:e9:93:47:c5:a4:70:95:eb:3b:80:39:e7:
                    94:af
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                18:D1:3E:58:0C:99:3D:6D:D4:EB:1A:D5:2F:43:69:89:8C:C0:A3:87
            X509v3 Authority Key Identifier:
                keyid:18:D1:3E:58:0C:99:3D:6D:D4:EB:1A:D5:2F:43:69:89:8C:C0:A3:87
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
         3f:af:bb:c9:b9:89:82:78:fe:99:e6:49:fe:7b:8d:c4:67:f4:
         62:ff:f7:6d:46:9f:75:17:9e:56:8c:c4:06:71:95:a1:6c:cd:
         d6:ae:06:dd:3f:28:ce:3b:ea:bb:1b:4b:21:26:6b:85:48:5b:
         43:c8:9c:10:ac:3d:4c:e2:62:69:8d:45:9a:5d:f0:d5:14:b7:
         21:9e:00:9a:53:50:22:42:c7:1f:ad:80:68:dd:f3:69:89:9d:
         68:3e:37:62:69:c1:28:62:5a:08:91:98:96:49:64:8b:cc:01:
         4c:7a:cf:c3:ff:cf:04:86:85:fb:2b:cf:ed:89:6c:15:ba:f7:
         8f:03:cb:af:50:f7:10:35:93:3d:29:09:bf:a5:e3:0b:d2:18:
         a2:7b:84:db:40:8a:b7:42:82:1b:ac:c8:8c:f0:d7:4f:45:de:
         b8:76:80:04:66:9b:3f:ed:e9:23:d5:52:51:9a:f8:cc:ad:1a:
         67:8f:a9:d7:45:3f:2a:07:89:5c:7b:fa:b5:73:f5:b0:4d:8d:
         d2:32:66:20:18:30:2e:d1:3e:cb:02:b3:4b:26:6e:25:20:83:
         f6:5b:a9:e8:fd:e2:d5:90:bc:16:65:6d:f9:de:9c:c0:e4:07:
         00:cb:e9:4b:9c:b4:fa:4c:79:c3:2f:3a:e7:e8:43:75:fc:b7:
         51:a5:16:ce

Certificado:

Datos:

Versión: 3 (0x2)

Serie Número:

7e:a6:19:80:11:8c:b2:12:cc:86:91:bd:9b:df:f1:2f:75:ef:50:07

Firma Algoritmo: sha256ConEncriptaciónRSA

Emisor: CN = Couchbase Raíz CA

Validez

No Antes de: Julio 26 12:26:06 2023 GMT

No En : Julio 23 12:26:06 2033 GMT

Asunto: CN = Couchbase Raíz CA

Asunto Público Clave Información:

Público Clave Algoritmo: rsaEncryption

RSA Público-Clave: (2048 bit)

Módulo:

00:a6:51:f9:d5:6f:40:06:b3:b5:5b:55:b5:a0:82:

2a:73:7a:0d:a8:02:1f:82:24:ed:c7:99:51:0a:d9:

f8:09:08:0e:24:e0:34:fe:ef:0f:53:dd:27:19:af:

a1:0d:78:14:03:3e:26:2e:c0:44:35:fb:c7:84:57:

ad:66:sea:95:d4:53:71:8c:24:30:26:46:6e:03:b9:

b9:e9:b1:a1:fa:f9:7f:bd:88:f8:03:3e:20:dc:3a:

29:dd:0d:2c:a3:0b:8e:22:46:49:ca:56:dc:b7:17:

f9:87:12:d2:df:80:b8:35:df:19:4f:0d:f4:b2:9d:

02:9e:2c:59:e4:25:98:05:85:cd:e8:64:04:43:1f:

79:35:fb:ae:8b:e8:cd:16:24:68:90:9f:32:d5:d3:

5f:b0:11:82:3f:a3:7a:83:d8:e2:c5:92:a5:ef:8f:

e2:4e:b2:8f:c1:27:04:92:3c:6d:50:88:82:5b:73:

e8:17:7b:03:c7:f3:98:71:dd:99:ed:84:f9:37:3a:

67:79:d3:fa:6a:a4:2e:69:25:a1:2c:79:39:40:e5:

51:2c:57:02:sea:c0:d6:43:7f:d5:ce:c9:cb:ee:68:

a6:ad:13:17:22:d1:16:8b:08:17:ba:25:80:ce:9a:

e8:a5:fc:e9:93:47:c5:a4:70:95:eb:3b:80:39:e7:

94:af

Exponente: 65537 (0x10001)

X509v3 extensiones:

X509v3 Asunto Clave Identificador:

18:D1:3E:58:0C:99:3D:6D:D4:EB:1A:D5:2F:43:69:89:8C:C0:A3:87

X509v3 Autoridad Clave Identificador:

keyid:18:D1:3E:58:0C:99:3D:6D:D4:EB:1A:D5:2F:43:69:89:8C:C0:A3:87

X509v3 Básico Restricciones: crítico

CA:TRUE

Firma Algoritmo: sha256ConEncriptaciónRSA

3f:af:bb:c9:b9:89:82:78:fe:99:e6:49:fe:7b:8d:c4:67:f4:

62:ff:f7:6d:46:9f:75:17:9e:56:8c:c4:06:71:95:a1:6c:cd:

d6:ae:06:dd:3f:28:ce:3b:ea:bb:1b:4b:21:26:6b:85:48:5b:

43:c8:9c:10:ac:3d:4c:e2:62:69:8d:45:9a:5d:f0:d5:14:b7:

21:9e:00:9a:53:50:22:42:c7:1f:ad:80:68:dd:f3:69:89:9d:

68:3e:37:62:69:c1:28:62:5a:08:91:98:96:49:64:8b:cc:01:

4c:7a:cf:c3:ff:cf:04:86:85:fb:2b:cf:ed:89:6c:15:ba:f7:

8f:03:cb:af:50:f7:10:35:93:3d:29:09:bf:a5:e3:0b:d2:18:

a2:7b:84:db:40:8a:b7:42:82:1b:ac:c8:8c:f0:d7:4f:45:de:

b8:76:80:04:66:9b:3f:ed:e9:23:d5:52:51:9a:f8:cc:ad:1a:

67:8f:a9:d7:45:3f:2a:07:89:5c:7b:fa:b5:73:f5:b0:4d:8d:

d2:32:66:20:18:30:2e:d1:3e:cb:02:b3:4b:26:6e:25:20:83:

f6:5b:a9:e8:fd:e2:d5:90:bc:16:65:6d:f9:de:9c:c0:e4:07:

00:cb:e9:4b:9c:b4:fa:4c:79:c3:2f:3a:e7:e8:43:75:fc:b7:

51:a5:16:ce

Ahora tenemos el Certificado de Cluster (cluster_cert.pem), este archivo necesita ser copiado a cada Nodo del Servidor Couchbase en el cluster. También necesita ser añadido a cada aplicación desde la que operen los SDKs así como a cualquier host desde el que los administradores accedan a la UI, como el portátil de un administrador. No es un archivo sensible y sólo contiene información pública.

Clave privada del nodo + CSR

Los pasos de esta sección deberán repetirse para cada Nodo del Servidor Couchbase:

- Inicie sesión en el nodo del servidor Couchbase.
- Ejecute los siguientes comandos en un directorio temporal, inaccesible para otros usuarios del sistema.

Primero vamos a crear la clave privada del nodo1, en formato PKCS1 (PKCS #1)

Comando

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out cbnode1_private.key

1	openssl genpkey -algoritmo RSA -pkeyopt rsa_keygen_bits:2048 -fuera cbnode1_private.clave

Salida

...................................................................................+++++
....+++++

1 2	...................................................................................+++++ ....+++++

A continuación vamos a crear la Solicitud de Firma de Certificado (CSR) para Nodo1, utilizando el comando nodo1 clave privada. Recuerde que en el CSR se incrustará una clave pública.

Comando (Sin salida)

openssl req -new -key cbnode1_private.key -out cbnode1.csr -subj "/CN=Couchbase Server"

1	openssl consulte -nuevo -clave cbnode1_private.clave -fuera cbnode1.csr -subj "/CN=Servidor Couchbase"

Este CSR y su clave pública incrustada ya pueden verse y verificarse.

Comando

openssl req -text -noout -verify -in ./cbnode1.csr

1	openssl consulte -texto -sin -verifique -en ./cbnode1.csr

Salida

verify OK
Certificate Request:
    Data:
        Version: 1 (0x0)
        Subject: CN = Couchbase Server
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                Modulus:
                    00:c6:a3:bd:7e:84:eb:8b:00:47:74:61:f6:68:3f:
                    d7:65:e8:90:7b:cd:ee:47:dd:d0:c4:26:5e:52:10:
                    8c:9e:55:68:dc:c7:01:06:f5:27:82:9a:40:2d:0a:
                    2a:a0:ef:d1:9d:ba:ee:cd:cc:1c:3b:b0:52:ab:bd:
                    03:98:eb:70:9c:53:02:8f:93:05:d9:79:3b:ee:ad:
                    86:dc:49:e2:8d:88:70:d4:80:ad:16:f2:ca:9e:20:
                    82:5c:52:51:7a:6b:e5:82:85:a9:d3:55:4b:61:70:
                    46:34:30:2c:72:8a:49:3f:a5:2e:59:37:58:49:45:
                    ca:63:99:61:c5:14:ff:9b:83:86:45:37:95:54:46:
                    66:68:f3:cc:55:ac:2e:49:17:7d:f8:2f:4d:df:ea:
                    f5:76:f5:b6:72:d6:93:ad:73:6c:64:da:6a:30:5c:
                    8b:c0:d8:94:df:fc:4e:e8:ad:8c:34:40:e9:87:93:
                    99:97:ed:3b:b5:e8:85:19:29:3c:20:d6:3a:0a:46:
                    6e:b4:c3:4b:ca:80:82:05:2b:59:62:6b:99:c9:93:
                    5f:11:f5:96:e1:1c:8c:c3:cd:3c:60:31:0b:40:fc:
                    a6:2f:fc:40:15:71:d7:e5:c6:b0:5c:3c:4b:64:4e:
                    3d:b7:48:e9:59:31:6d:b3:1e:9f:07:9b:5a:bc:bb:
                    cd:df
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         5d:70:22:cd:a9:1b:dc:97:d3:1f:49:e7:d5:ef:4c:c9:f8:5b:
         8e:65:b3:a1:ac:b4:19:cb:ff:3a:39:bc:b8:d2:21:a9:ac:2d:
         b3:78:83:fa:26:8d:b3:26:20:83:12:a6:fd:93:23:dc:4f:ee:
         59:2f:64:bd:03:03:51:92:28:e5:55:7d:63:a4:4a:48:80:05:
         01:90:5b:ac:8d:37:d0:7a:80:a5:49:5b:63:b0:44:fd:5d:aa:
         fc:9e:1c:16:78:2b:79:bb:a9:a3:a4:f8:8d:02:db:27:e0:40:
         95:61:fd:2f:f5:e2:67:f5:19:4c:75:77:38:28:ab:c5:70:06:
         c0:14:7c:82:e1:6a:cd:72:bb:f1:98:a5:79:1e:81:94:ca:3d:
         74:62:ef:48:85:d6:79:c9:26:0c:39:a8:50:7a:f0:40:1c:b4:
         5a:c6:2b:06:11:c8:63:7e:a8:0f:0b:0f:92:e3:35:6d:ab:44:
         37:08:b8:7e:4b:4e:f0:14:12:5c:f0:b3:c3:a5:c0:bd:72:dd:
         2e:43:ff:0b:7d:12:f9:46:40:87:16:06:14:00:d6:c4:1f:ae:
         d8:94:ff:cf:06:dc:72:20:ef:8f:5a:b2:0b:a6:cf:69:87:48:
         33:ac:b3:06:a2:5b:d0:16:9f:a0:3b:1d:dc:89:2a:0b:fa:1f:
         fa:3c:22:ed

verifique OK

Certificado Solicitar:

Datos:

Versión: 1 (0x0)

Asunto: CN = Couchbase Servidor

Asunto Público Clave Información:

Público Clave Algoritmo: rsaEncryption

RSA Público-Clave: (2048 bit)

Módulo:

00:c6:a3:bd:7e:84:eb:8b:00:47:74:61:f6:68:3f:

d7:65:e8:90:7b:cd:ee:47:dd:d0:c4:26:5e:52:10:

8c:9e:55:68:dc:c7:01:06:f5:27:82:9a:40:2d:0a:

2a:a0:ef:d1:9d:ba:ee:cd:cc:1c:3b:b0:52:ab:bd:

03:98:eb:70:9c:53:02:8f:93:05:d9:79:3b:ee:ad:

86:dc:49:e2:8d:88:70:d4:80:ad:16:f2:ca:9e:20:

82:5c:52:51:7a:6b:e5:82:85:a9:d3:55:4b:61:70:

46:34:30:2c:72:8a:49:3f:a5:2e:59:37:58:49:45:

ca:63:99:61:c5:14:ff:9b:83:86:45:37:95:54:46:

66:68:f3:cc:55:ac:2e:49:17:7d:f8:2f:4d:df:ea:

f5:76:f5:b6:72:d6:93:ad:73:6c:64:da:6a:30:5c:

8b:c0:d8:94:df:fc:4e:e8:ad:8c:34:40:e9:87:93:

99:97:ed:3b:b5:e8:85:19:29:3c:20:d6:3a:0a:46:

6e:b4:c3:4b:ca:80:82:05:2b:59:62:6b:99:c9:93:

5f:11:f5:96:e1:1c:8c:c3:cd:3c:60:31:0b:40:fc:

a6:2f:fc:40:15:71:d7:e5:c6:b0:5c:3c:4b:64:4e:

3d:b7:48:e9:59:31:6d:b3:1e:9f:07:9b:5a:bc:bb:

cd:df

Exponente: 65537 (0x10001)

Atributos:

a0:00

Firma Algoritmo: sha256ConEncriptaciónRSA

5d:70:22:cd:a9:1b:dc:97:d3:1f:49:e7:d5:ef:4c:c9:f8:5b:

8e:65:b3:a1:ac:b4:19:cb:ff:3a:39:bc:b8:d2:21:a9:ac:2d:

b3:78:83:fa:26:8d:b3:26:20:83:12:a6:fd:93:23:dc:4f:ee:

59:2f:64:bd:03:03:51:92:28:e5:55:7d:63:a4:4a:48:80:05:

01:90:5b:ac:8d:37:d0:7a:80:a5:49:5b:63:b0:44:fd:5d:aa:

fc:9e:1c:16:78:2b:79:bb:a9:a3:a4:f8:8d:02:db:27:e0:40:

95:61:fd:2f:f5:e2:67:f5:19:4c:75:77:38:28:ab:c5:70:06:

c0:14:7c:82:e1:6a:cd:72:bb:f1:98:a5:79:1e:81:94:ca:3d:

74:62:ef:48:85:d6:79:c9:26:0c:39:a8:50:7a:f0:40:1c:b4:

5a:c6:2b:06:11:c8:63:7e:a8:0f:0b:0f:92:e3:35:6d:ab:44:

37:08:b8:7e:4b:4e:f0:14:12:5c:f0:b3:c3:a5:c0:bd:72:dd:

2e:43:ff:0b:7d:12:f9:46:40:87:16:06:14:00:d6:c4:1f:ae:

d8:94:ff:cf:06:dc:72:20:ef:8f:5a:b2:0b:a6:cf:69:87:48:

33:ac:b3:06:a2:5b:d0:16:9f:a0:3b:1d:dc:89:2a:0b:fa:1f:

fa:3c:22:ed

Ahora copie el archivo CSR, cbnode1.csral sistema CA. Sólo contiene información pública y no es sensible.

Crear certificados de nodo

Inicie sesión en el sistema CA, ahora debería tener los archivos CSR para cada Nodo del Servidor Couchbase en el cluster localizado en el sistema CA, cbnode1.csr, cbnode2.csr, etc.

Para cada Nodo del Servidor Couchbase, necesitarás crear un archivo de plantilla. El archivo de plantilla creado anteriormente, cbserver.extserá personalizado para cada nodo. Ejecute este comando para cada Nodo del Servidor Couchbase, reemplazando el nombre de host DNS del Nodo del Servidor Couchbase y el nombre de archivo según sea necesario. Esto configurará el Subject Alternative Name (SAN) para que coincida con el nombre del Nodo Servidor Couchbase.

Si utiliza nombres de host para Couchbase Server, ejecute este comando:

Comando (sin salida)

cp cbserver.ext cbnode1.ext && echo "subjectAltName = DNS:node1.cb.acme.com" >> cbnode1.ext

1	cp cbserver.ext cbnode1.ext && echo "subjectAltName = DNS:node1.cb.acme.com" >> cbnode1.ext

Alternativamente, si utiliza direcciones IP sin nombres de host para Couchbase Server, ejecute esto:

Comando (sin salida)

cp cbserver.ext cbnode1.ext && echo "subjectAltName = IP:172.17.0.2" >> cbnode1.ext

1	cp cbserver.ext cbnode1.ext && echo "subjectAltName = IP:172.17.0.2" >> cbnode1.ext

Ahora deberías tener archivos de plantilla para cada Nodo del Servidor Couchbase en el cluster, cbnode1.ext, cbnode2.ext, cbnode3.ext, etc.

Ahora generaremos los certificados, válidos por 3 meses, para cada Nodo del Servidor Couchbase. Estos estarán en formato PEM x.509. Ejecute este comando para cada nodo, cambiando los nombres de archivo. Cada vez que se ejecute, se te pedirá la contraseña de tu CA para encriptar los certificados. cluster_private.key antes.

Comando

openssl x509 -CA cluster_cert.pem -CAkey cluster_private.key -CAcreateserial -days 90 -req -in cbnode1.csr -out node1_cert.pem -extfile cbnode1.ext

1	openssl x509 -CA cluster_cert.pem -CAkey cluster_privado.clave -CAcreateserial -días 90 -consulte -en cbnode1.csr -fuera nodo1_cert.pem -extfile cbnode1.ext

Salida

Signature ok
subject=CN = Couchbase Server
Getting CA Private Key
Enter pass phrase for cluster_private.key:

Firma ok

tema=CN = Couchbase Servidor

En CA Privado Clave

Entre en pase frase para cluster_privado.clave:

Copie cada archivo de certificado de la Autoridad de Certificación a cada Nodo del Servidor Couchbase al que pertenezcan. Por ejemplo, copie nodo1_cert.pem en Couchbase Server Nodo 1 y nodo2_cert.pem en Couchbase Server Node 2.

Cargar los certificados en Couchbase Server

Estos pasos deberán realizarse en cada Nodo del Servidor Couchbase

Inicie sesión en el nodo del servidor Couchbase, debe tener una carpeta que tiene 3 archivos.

- Certificado Cluster, cluster_cert.pem
- Certificado (público) del nodo, nodo1_cert.pem
- Clave privada del nodo, cbnode1_private.key

Ya no necesita el archivo CSR creado anteriormente.

Ahora necesitas mover los archivos a la ubicación correcta, con la convención de nomenclatura correcta para Couchbase Server. Ten en cuenta que el mismo nombre de archivo de destino se utiliza en cada Nodo del Servidor Couchbase, pero cada nodo tiene archivos únicos para el archivo cadena.pem y pkey.key.

Comando

mkdir /opt/couchbase/var/lib/couchbase/inbox
mkdir /opt/couchbase/var/lib/couchbase/inbox/CA
mv cluster_cert.pem /opt/couchbase/var/lib/couchbase/inbox/CA/ca.pem
mv node1_cert.pem /opt/couchbase/var/lib/couchbase/inbox/chain.pem
mv cbnode1_private.key /opt/couchbase/var/lib/couchbase/inbox/pkey.key
chown couchbase:couchbase /opt/couchbase/var/lib/couchbase/inbox/pkey.key

mkdir /op/couchbase/var/lib/couchbase/bandeja de entrada

mkdir /op/couchbase/var/lib/couchbase/bandeja de entrada/CA

mv cluster_cert.pem /op/couchbase/var/lib/couchbase/bandeja de entrada/CA/ca.pem

mv nodo1_cert.pem /op/couchbase/var/lib/couchbase/bandeja de entrada/cadena.pem

mv cbnode1_private.clave /op/couchbase/var/lib/couchbase/bandeja de entrada/pkey.clave

chown couchbase:couchbase /op/couchbase/var/lib/couchbase/bandeja de entrada/pkey.clave

Ahora todos los archivos correctos están listos para ser importados a la configuración del Servidor Couchbase.

Empiece cargando el certificado del clúster:

Comando

curl -X POST http://localhost:8091/node/controller/loadTrustedCAs -u Administrator:password

1	rizo -X POST http://localhost:8091/node/controller/loadTrustedCAs -u Administrador:contraseña

Salida

[{"id":1,"loadTimestamp":"2023-07-26T15:51:33.000Z","subject":"CN=Couchbase Root CA","notBefore":"2023-07-26T12:26:06.000Z","notAfter":"2033-07-23T12:26:06.000Z","type":"uploaded","pem":"-----BEGIN CERTIFICATE-----\nMIIDGTCCAgGgAwIBAgIUfqYZgBGMshLMhpG9m9/xL3XvUAcwDQYJKoZIhvcNAQEL\nBQAwHDEaMBgGA1UEAwwRQ291Y2hiYXNlIFJvb3QgQ0EwHhcNMjMwNzI2MTIyNjA2\nWhcNMzMwNzIzMTIyNjA2WjAcMRowGAYDVQQDDBFDb3VjaGJhc2UgUm9vdCBDQTCC\nASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKZR+dVvQAaztVtVtaCCKnN6\nDagCH4Ik7ceZUQrZ+AkIDiTgNP7vD1PdJxmvoQ14FAM+Ji7ARDX7x4RXrWa+ldRT\ncYwkMCZGbgO5uemxofr5f72I+AM+INw6Kd0NLKMLjiJGScpW3LcX+YcS0t+AuDXf\nGU8N9LKdAp4sWeQlmAWFzehkBEMfeTX7rovozRYkaJCfMtXTX7ARgj+jeoPY4sWS\npe+P4k6yj8EnBJI8bVCIgltz6Bd7A8fzmHHdme2E+Tc6Z3nT+mqkLmkloSx5OUDl\nUSxXAr7A1kN/1c7Jy+5opq0TFyLRFosIF7olgM6a6KX86ZNHxaRwles7gDnnlK8C\nAwEAAaNTMFEwHQYDVR0OBBYEFBjRPlgMmT1t1Osa1S9DaYmMwKOHMB8GA1UdIwQY\nMBaAFBjRPlgMmT1t1Osa1S9DaYmMwKOHMA8GA1UdEwEB/wQFMAMBAf8wDQYJKoZI\nhvcNAQELBQADggEBAD+vu8m5iYJ4/pnmSf57jcRn9GL/921Gn3UXnlaMxAZxlaFs\nzdauBt0/KM476rsbSyEma4VIW0PInBCsPUziYmmNRZpd8NUUtyGeAJpTUCJCxx+t\ngGjd82mJnWg+N2JpwShiWgiRmJZJZIvMAUx6z8P/zwSGhfsrz+2JbBW6948Dy69Q\n9xA1kz0pCb+l4wvSGKJ7hNtAirdCghusyIzw109F3rh2gARmmz/t6SPVUlGa+Myt\nGmePqddFPyoHiVx7+rVz9bBNjdIyZiAYMC7RPssCs0smbiUgg/Zbqej94tWQvBZl\nbfnenMDkBwDL6UuctPpMecMvOufoQ3X8t1GlFs4=\n-----END CERTIFICATE-----\n\n","loadHost":"127.0.0.1","loadFile":"/opt/couchbase/va

[{"id":1,"loadTimestamp":"2023-07-26T15:51:33.000Z","asunto":"CN=Couchbase Root CA","noAntes":"2023-07-26T12:26:06.000Z","notAfter":"2033-07-23T12:26:06.000Z","tipo":"cargado","pem":"-----EMPEZAR CERTIFICADO-----\nMIIDGTCCAgGgAwIBAgIUfqYZgBGMshLMhpG9m9/xL3XvUAcwDQYJKoZIhvcNAQEL\nBQAwHDEaMBgGA1UEAwwRQ291Y2hiYXNlIFJvb3QgQ0EwHhcNMjMwNzI2MTIyNjA2\nWhcNMzMwNzIzMTIyNjA2WjAcMRowGAYDVQQDDBFDb3VjaGJhc2UgUm9vdCBDQTCC\nASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKZR+dVvQAaztVtVtaCCKnN6\nDagCH4Ik7ceZUQrZ+AkIDiTgNP7vD1PdJxmvoQ14FAM+Ji7ARDX7x4RXrWa+ldRT\ncYwkMCZGbgO5uemxofr5f72I+AM+INw6Kd0NLKMLjiJGScpW3LcX+YcS0t+AuDXf\nGU8N9LKdAp4sWeQlmAWFzehkBEMfeTX7rovozRYkaJCfMtXTX7ARgj+jeoPY4sWS\npe+P4k6yj8EnBJI8bVCIgltz6Bd7A8fzmHHdme2E+Tc6Z3nT+mqkLmkloSx5OUDl\nUSxXAr7A1kN/1c7Jy+5opq0TFyLRFosIF7olgM6a6KX86ZNHxaRwles7gDnnlK8C\nAwEAAaNTMFEwHQYDVR0OBBYEFBjRPlgMmT1t1Osa1S9DaYmMwKOHMB8GA1UdIwQY\nMBaAFBjRPlgMmT1t1Osa1S9DaYmMwKOHMA8GA1UdEwEB/wQFMAMBAf8wDQYJKoZI\nhvcNAQELBQADggEBAD+vu8m5iYJ4/pnmSf57jcRn9GL/921Gn3UXnlaMxAZxlaFs\nzdauBt0/KM476rsbSyEma4VIW0PInBCsPUziYmmNRZpd8NUUtyGeAJpTUCJCxx+t\ngGjd82mJnWg+N2JpwShiWgiRmJZJZIvMAUx6z8P/zwSGhfsrz+2JbBW6948Dy69Q\n9xA1kz0pCb+l4wvSGKJ7hNtAirdCghusyIzw109F3rh2gARmmz/t6SPVUlGa+Myt\nGmePqddFPyoHiVx7+rVz9bBNjdIyZiAY----END CERTIFICATE-----\n\n","loadHost":"127.0.0.1","loadFile":"/op/couchbase/va

A continuación cargue el Certificado de Nodo y la Clave Privada, y observe que no se imprimen advertencias:

Comando

curl -X POST http://localhost:8091/node/controller/reloadCertificate -u Administrator:password

1	rizo -X POST http://localhost:8091/node/controller/reloadCertificate -u Administrador:contraseña

Salida

{"warnings":[]}

1	{"advertencias":[]}

Ahora puedes usar conexiones TLS a tu Cluster de Servidores Couchbase.

Confiar en el certificado del clúster

Admin portátil

Inicie sesión en el ordenador portátil de un administrador. En este caso estoy usando un Mac, pasos similares se pueden realizar para máquinas Windows y Linux.

Comando en MacOS (sin salida)

sudo security add-trusted-cert -d -r trustRoot -k "/Library/Keychains/System.keychain" "/tmp/cluster_cert.pem"

1	sudo seguridad añada-de confianza-cert -d -r trustRoot -k "/Library/Keychains/System.keychain" "/tmp/cluster_cert.pem"

SDK de aplicaciones

Usaremos una aplicación Java para conectarnos a Couchbase Server, en este ejemplo apuntaremos la aplicación al Certificado de Cluster. Otra opción sería utilizar el almacén de confianza cacerts de la JVM, ya que el SDK confiará automáticamente en cualquier CA definida allí. Cada lenguaje de programación tendrá su propia forma preferida de confiar en un certificado CA.

String connectionString = "couchbases://example.com" +
    "?security.trustCertificate=/path/to/cluster_cert.pem";
Cluster cluster = Cluster.connect(connectionString, username, password);

Cadena connectionString = "couchbases://ejemplo.com" +

"?security.trustCertificate=/ruta/a/cluster_cert.pem";

Grupo grupo = Grupo.conecte(connectionString, nombre de usuario, contraseña);

Cargar la dirección UI encriptada por defecto para uno de los nombres de host de tu nodo desde un portátil de administrador. Esto debería cargar sin ninguna advertencia: https://node1.cb.acme.com:18091/

Del mismo modo, puede realizar conexiones cifradas TLS desde su aplicación a la base de datos.

Recuerde crear y desplegar nuevas claves/certificados por nodo antes de que expiren los 90 días siguiendo de nuevo estos pasos.

Temas avanzados de TLS

Aunque los pasos descritos hasta ahora son adecuados para la mayoría de las aplicaciones, Couchbase Server ofrece algunas capacidades adicionales para requisitos más complejos. Éstas están cubiertas en el blog Claves privadas encriptadas y multi-CA, mejoras de seguridad empresarial en Couchbase Server 7.1

Múltiples autoridades de certificación en Couchbase Server

En lugar de incluir un único certificado como certificado de clúster (cluster_cert.pem / ca.pem), se pueden concatenar varios certificados en el archivo. Esta es una gran opción para tener autoridades de certificación redundantes o para realizar la migración de una autoridad de certificación a otra sin ningún tiempo de inactividad.

Claves privadas de nodo cifradas

Al igual que hicimos con la clave privada del clúster, la clave privada (pkey.key) que reside en cada Nodo del Servidor Couchbase también puede ser opcionalmente encriptado con una frase de contraseña para que sólo sea legible por personas y sistemas que tengan la autoridad correcta para hacerlo.

Conclusión

Los certificados TLS y su correcta configuración son fundamentales para establecer comunicaciones seguras en Couchbase Server. Entender el papel de los certificados de cluster, la importancia de los certificados de nodo, y la implicación de las Autoridades de Certificación (CAs) capacita a los administradores para implementar medidas de seguridad robustas. Además, familiarizarse con los Subject Alternative Names (SAN) mejora la flexibilidad en el despliegue de certificados a través de múltiples dominios o subdominios. Siguiendo las pautas presentadas en esta guía, los administradores pueden fortificar la seguridad de sus despliegues de Couchbase y salvaguardar los datos sensibles de accesos no autorizados.

Gracias por seguir esta serie, esperamos que haya disfrutado de la visita guiada.

Ian McCloy, Director de Gestión de Productos

Platform

Self-Managed

Services

Capabilities

Why Couchbase?

Migrate to Capella

By Use Case

By Industry

By Application Need

Popular Docs

By Developer Role

Quickstart

Resource Center

About

Partnerships

Our Services

Partners: Register a Deal

Ready to register a deal with Couchbase?

Marriott

Todos los mensajes

Asegurando la Comunicación con Certificados TLS: Una guía definitiva para Couchbase Server (Parte 3 de 3)

Entendiendo TLS dentro de Couchbase Server

Certificados de clúster Couchbase

Certificados de nodo para cifrado de red

Ejemplo de configuración de TLS en Couchbase Server

Clave privada de clúster + certificado

Clave privada del nodo + CSR

Crear certificados de nodo

Cargar los certificados en Couchbase Server

Confiar en el certificado del clúster

Admin portátil

SDK de aplicaciones

Temas avanzados de TLS

Múltiples autoridades de certificación en Couchbase Server

Claves privadas de nodo cifradas

Conclusión

Autor

Publicado por Ian McCloy, Director de Gestión de Productos

Dejar una respuesta Cancelar respuesta