{"id":14913,"date":"2023-10-17T20:14:16","date_gmt":"2023-10-18T03:14:16","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=14913"},"modified":"2023-10-23T11:05:30","modified_gmt":"2023-10-23T18:05:30","slug":"securing-couchbase-with-tls-certificates-part-3","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/pt\/securing-couchbase-with-tls-certificates-part-3\/","title":{"rendered":"Protegendo a comunica\u00e7\u00e3o com certificados TLS: Um guia definitivo para o Couchbase Server (Parte 3 de 3)"},"content":{"rendered":"

Entendendo o TLS no Couchbase Server<\/span><\/h2>\n

Em Parte 1<\/a> e Parte 2<\/a> Neste guia, explicamos a hist\u00f3ria do TLS, os componentes envolvidos e como ele funciona. Nesta terceira parte final do guia, combinamos tudo isso e aprendemos como o TLS funciona no Couchbase Server.<\/span><\/p>\n

Certificados do cluster do Couchbase<\/span><\/h3>\n

\"\"<\/p>\n

No Couchbase Server, um certificado de cluster vincula tudo a uma ou mais Autoridades de Certifica\u00e7\u00e3o (CAs) confi\u00e1veis; ele n\u00e3o lida diretamente com a criptografia do banco de dados. Em vez disso, ele estabelece uma cadeia de confian\u00e7a para os certificados por n\u00f3 dentro do cluster.\u00a0<\/span><\/p>\n

Todas as partes confi\u00e1veis na implanta\u00e7\u00e3o do Couchbase Server devem ter o Certificado do Cluster instalado e confi\u00e1vel. Assim como no exemplo anterior, com o navegador da Web tendo CAs raiz confi\u00e1veis, em uma implanta\u00e7\u00e3o do Couchbase, cada n\u00f3 do Couchbase Server e aplicativo de conex\u00e3o usando um dos SDKs deve confiar no certificado do cluster. Ele tamb\u00e9m \u00e9 importado para clusters adicionais do Couchbase Server que usam o recurso de replica\u00e7\u00e3o entre centros de dados (XDCR) para replicar dados entre os clusters de forma segura.<\/span><\/p>\n

No Couchbase Capella, nossa oferta de banco de dados como servi\u00e7o (DBaaS), todos os clusters realmente usam a mesma autoridade de certifica\u00e7\u00e3o e, portanto, todos usam o mesmo certificado de cluster. E, a partir do in\u00edcio de 2022, todos os SDKs oficiais do Couchbase lan\u00e7ados desde ent\u00e3o inclu\u00edram, por padr\u00e3o, a confian\u00e7a autom\u00e1tica no Certificado de Cluster do Capella.<\/span><\/p>\n

Certificados de n\u00f3 para criptografia de rede<\/span><\/h3>\n

Os Certificados de N\u00f3 e as chaves privadas por n\u00f3 s\u00e3o o principal componente respons\u00e1vel pela criptografia de rede no Couchbase Server. Os certificados de n\u00f3 s\u00e3o criados por uma autoridade de certifica\u00e7\u00e3o (CA) confi\u00e1vel e s\u00e3o assinados pela chave privada da CA (tamb\u00e9m conhecida como a chave privada associada ao certificado\/chave p\u00fablica do cluster).<\/span><\/p>\n

Este \u00e9 o processo de cria\u00e7\u00e3o de um certificado de n\u00f3 do Couchbase.<\/span><\/p>\n

    \n
  1. \n
      \n
    1. Uma solicita\u00e7\u00e3o de assinatura de certificado (CSR) \u00e9 solicitada \u00e0 autoridade de certifica\u00e7\u00e3o com a chave p\u00fablica de um n\u00f3 incorporado.<\/span><\/li>\n
    2. O certificado do n\u00f3 \u00e9 criado, incluindo a chave p\u00fablica do n\u00f3 incorporada, e \u00e9 assinado usando a chave privada do cluster no pr\u00f3prio sistema CA.<\/span><\/li>\n
    3. O certificado do n\u00f3 \u00e9 ent\u00e3o fornecido de volta ao solicitante.<\/span><\/li>\n<\/ol>\n<\/li>\n<\/ol>\n

      \"\"<\/p>\n

      Esses certificados facilitam a comunica\u00e7\u00e3o segura entre os n\u00f3s do servidor Couchbase e permitem a conectividade criptografada com n\u00f3s individuais do servidor Couchbase a partir de SDKs. Os principais pontos relacionados aos certificados de n\u00f3 incluem:<\/span><\/p>\n

      Criptografia n\u00f3 a n\u00f3<\/strong>: Os certificados de n\u00f3 protegem os canais de comunica\u00e7\u00e3o entre os n\u00f3s do servidor Couchbase, protegendo os dados \u00e0 medida que eles trafegam dentro do cluster.<\/span><\/p>\n

      Conectividade do SDK<\/strong>: Quando os SDKs se conectam a n\u00f3s individuais do servidor Couchbase, os certificados de n\u00f3 garantem que a comunica\u00e7\u00e3o seja criptografada, mantendo a confidencialidade dos dados.<\/span><\/p>\n

      Acesso \u00e0 GUI do administrador por HTTPS<\/strong>: Ao utilizar o certificado de n\u00f3, os administradores podem acessar com seguran\u00e7a a interface gr\u00e1fica do usu\u00e1rio (GUI) do Couchbase Server por meio de HTTPS.<\/span><\/p>\n

      \"\"<\/p>\n

      Se analisarmos um exemplo de como um SDK faz uma conex\u00e3o criptografada com um n\u00f3 do Couchbase Server, voc\u00ea ver\u00e1 os v\u00e1rios componentes em a\u00e7\u00e3o. Deixei alguns detalhes de fora intencionalmente, para manter a simplicidade.<\/span><\/p>\n

      \"\"<\/p>\n

      \"\"<\/p>\n

      \"\"<\/p>\n

      O SDK executar\u00e1 essas etapas com cada n\u00f3 do Couchbase Server no cluster com o qual estabelece uma conex\u00e3o TLS.<\/span><\/p>\n

      Exemplo de configura\u00e7\u00e3o de TLS no Couchbase Server<\/span><\/h2>\n

      Nesta se\u00e7\u00e3o, configuraremos a criptografia de rede TLS em um cluster de 3 n\u00f3s do Couchbase Server, executando a vers\u00e3o 7.2.0 em hosts Linux. H\u00e1 tamb\u00e9m um quarto host Linux usado como autoridade de certifica\u00e7\u00e3o.\u00a0<\/span><\/p>\n

      Chave privada do cluster + certificado<\/span><\/h3>\n

      Fa\u00e7a login no host da autoridade de certifica\u00e7\u00e3o, pois \u00e9 aqui que criaremos o certificado do cluster.<\/span><\/p>\n

      Trata-se apenas de um host Linux que tem uma vers\u00e3o atual do OpenSSL instalada.\u00a0<\/span><\/p>\n

      Primeiro, criaremos um arquivo de modelo do Couchbase que ser\u00e1 usado posteriormente para os certificados por n\u00f3.<\/span><\/p>\n\n\n\n\n
      Comando (sem sa\u00edda)<\/strong><\/td>\n<\/tr>\n
      \n
      cat > cbserver.ext <<EOF\r\nbasicConstraints=CA:FALSE\r\nsubjectKeyIdentifier = hash\r\nauthorityKeyIdentifier = keyid,issuer:always\r\nextendedKeyUsage=serverAuth\r\nkeyUsage = digitalSignature,keyEncipherment\r\nEOF<\/pre>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
      A pr\u00f3xima etapa ser\u00e1 criar a chave privada criptografada do cluster, denominada cluster_private.key.<\/em><\/span><\/p>\n
      Execute o seguinte comando; ser\u00e1 solicitada uma frase secreta para criptografar essa chave.\u00a0<\/span><\/p>\n
      A chave privada estar\u00e1 no formato PKCS8 (PKCS #8) e ser\u00e1 criptografada com o muito seguro bit 265 <\/span>Padr\u00e3o de criptografia avan\u00e7ado<\/b> (<\/span>AES<\/b>).<\/span><\/p>\n\n\n\n\n\n\n
      Comando<\/strong><\/td>\n<\/tr>\n
      \n
      openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -aes256 -out cluster_private.key<\/pre>\n<\/td>\n<\/tr>\n
      Sa\u00edda<\/strong><\/td>\n<\/tr>\n
      \n
      .................................................+++++\r\n....+++++\r\nDigite a frase-passe PEM:\r\nVerifying (Verificando) - Enter PEM pass phrase (Digite a frase-passe PEM):<\/pre>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
      Voc\u00ea pode validar que se trata de uma chave privada criptografada, observando o in\u00edcio do arquivo.<\/p>\n\n\n\n\n\n\n
      Comando<\/strong><\/td>\n<\/tr>\n
      \n
      head cluster_private.key<\/pre>\n<\/td>\n<\/tr>\n
      Sa\u00edda<\/strong><\/td>\n<\/tr>\n
      \n
      -----BEGIN ENCRYPTED PRIVATE KEY-----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<\/pre>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
      Agora, criaremos o certificado do cluster no formato PEM x.509. No nosso caso, o certificado deve ser autoassinado, o que significa que n\u00e3o ser\u00e1 atestado por nenhuma outra autoridade. Isso significa que ele pode ser criado diretamente, com base na chave privada existente ca.key<\/em>sem a assist\u00eancia de terceiros.<\/span><\/p>\n
      Quando criarmos o certificado de cluster, v\u00e1lido por 3650 dias (10 anos), ele ter\u00e1 uma chave p\u00fablica de cluster incorporada ao certificado, que \u00e9 o par correspondente da chave cluster_private.key<\/em> feito anteriormente. Voc\u00ea precisar\u00e1 fornecer a frase secreta que inseriu anteriormente para descriptografar a chave privada desse comando.<\/span><\/p>\n\n\n\n\n\n\n
      Comando<\/strong><\/td>\n<\/tr>\n
      \n
      openssl req -new -x509 -days 3650 -sha256 -key cluster_private.key -out cluster_cert.pem -subj \"\/CN=Couchbase Root CA\"<\/pre>\n<\/td>\n<\/tr>\n
      Sa\u00edda<\/strong><\/td>\n<\/tr>\n
      \n
      Digite a frase secreta para cluster_private.key:<\/pre>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
      Agora podemos imprimir o conte\u00fado do novo arquivo de certificado (e tamb\u00e9m ver a chave p\u00fablica).<\/span><\/p>\n\n\n\n\n\n\n
      Comando<\/strong><\/td>\n<\/tr>\n
      \n
      openssl x509 -text -noout -in .\/cluster_cert.pem<\/pre>\n<\/td>\n<\/tr>\n
      Sa\u00edda<\/strong><\/td>\n<\/tr>\n
      \n
      Certificado:\r\n    Dados:\r\n        Vers\u00e3o: 3 (0x2)\r\n        N\u00famero de s\u00e9rie:\r\n            7e:a6:19:80:11:8c:b2:12:cc:86:91:bd:9b:df:f1:2f:75:ef:50:07\r\n        Algoritmo de assinatura: sha256WithRSAEncryption\r\n        Emissor: CN = Couchbase Root CA\r\n        Validade\r\n            N\u00e3o antes: Jul 26 12:26:06 2023 GMT\r\n            N\u00e3o depois: Jul 23 12:26:06 2033 GMT\r\n        Assunto: CN = Couchbase Root CA\r\n        Informa\u00e7\u00f5es da chave p\u00fablica do assunto:\r\n            Algoritmo de chave p\u00fablica: rsaEncryption\r\n                Chave p\u00fablica RSA: (2048 bits)\r\n                Modulus:\r\n                    00:a6:51:f9:d5:6f:40:06:b3:b5:5b:55:b5:a0:82:\r\n                    2a:73:7a:0d:a8:02:1f:82:24:ed:c7:99:51:0a:d9:\r\n                    f8:09:08:0e:24:e0:34:fe:ef:0f:53:dd:27:19:af:\r\n                    a1:0d:78:14:03:3e:26:2e:c0:44:35:fb:c7:84:57:\r\n                    ad:66:be:95:d4:53:71:8c:24:30:26:46:6e:03:b9:\r\n                    b9:e9:b1:a1:fa:f9:7f:bd:88:f8:03:3e:20:dc:3a:\r\n                    29:dd:0d:2c:a3:0b:8e:22:46:49:ca:56:dc:b7:17:\r\n                    f9:87:12:d2:df:80:b8:35:df:19:4f:0d:f4:b2:9d:\r\n                    02:9e:2c:59:e4:25:98:05:85:cd:e8:64:04:43:1f:\r\n                    79:35:fb:ae:8b:e8:cd:16:24:68:90:9f:32:d5:d3:\r\n                    5f:b0:11:82:3f:a3:7a:83:d8:e2:c5:92:a5:ef:8f:\r\n                    e2:4e:b2:8f:c1:27:04:92:3c:6d:50:88:82:5b:73:\r\n                    e8:17:7b:03:c7:f3:98:71:dd:99:ed:84:f9:37:3a:\r\n                    67:79:d3:fa:6a:a4:2e:69:25:a1:2c:79:39:40:e5:\r\n                    51:2c:57:02:be:c0:d6:43:7f:d5:ce:c9:cb:ee:68:\r\n                    a6:ad:13:17:22:d1:16:8b:08:17:ba:25:80:ce:9a:\r\n                    e8:a5:fc:e9:93:47:c5:a4:70:95:eb:3b:80:39:e7:\r\n                    94:af\r\n                Expoente: 65537 (0x10001)\r\n        Extens\u00f5es X509v3:\r\n            X509v3 Subject Key Identifier:\r\n                18:D1:3E:58:0C:99:3D:6D:D4:EB:1A:D5:2F:43:69:89:8C:C0:A3:87\r\n            Identificador de chave de autoridade X509v3:\r\n                keyid:18:D1:3E:58:0C:99:3D:6D:D4:EB:1A:D5:2F:43:69:89:8C:C0:A3:87\r\n            Restri\u00e7\u00f5es b\u00e1sicas X509v3: cr\u00edtico\r\n                CA:TRUE\r\n    Algoritmo de assinatura: sha256WithRSAEncryption\r\n         3f:af:bb:c9:b9:89:82:78:fe:99:e6:49:fe:7b:8d:c4:67:f4:\r\n         62:ff:f7:6d:46:9f:75:17:9e:56:8c:c4:06:71:95:a1:6c:cd:\r\n         d6:ae:06:dd:3f:28:ce:3b:ea:bb:1b:4b:21:26:6b:85:48:5b:\r\n         43:c8:9c:10:ac:3d:4c:e2:62:69:8d:45:9a:5d:f0:d5:14:b7:\r\n         21:9e:00:9a:53:50:22:42:c7:1f:ad:80:68:dd:f3:69:89:9d:\r\n         68:3e:37:62:69:c1:28:62:5a:08:91:98:96:49:64:8b:cc:01:\r\n         4c:7a:cf:c3:ff:cf:04:86:85:fb:2b:cf:ed:89:6c:15:ba:f7:\r\n         8f:03:cb:af:50:f7:10:35:93:3d:29:09:bf:a5:e3:0b:d2:18:\r\n         a2:7b:84:db:40:8a:b7:42:82:1b:ac:c8:8c:f0:d7:4f:45:de:\r\n         b8:76:80:04:66:9b:3f:ed:e9:23:d5:52:51:9a:f8:cc:ad:1a:\r\n         67:8f:a9:d7:45:3f:2a:07:89:5c:7b:fa:b5:73:f5:b0:4d:8d:\r\n         d2:32:66:20:18:30:2e:d1:3e:cb:02:b3:4b:26:6e:25:20:83:\r\n         f6:5b:a9:e8:fd:e2:d5:90:bc:16:65:6d:f9:de:9c:c0:e4:07:\r\n         00:cb:e9:4b:9c:b4:fa:4c:79:c3:2f:3a:e7:e8:43:75:fc:b7:\r\n         51:a5:16:ce<\/pre>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
      Agora temos o certificado do cluster (cluster_cert.pem<\/em>), esse arquivo precisa ser copiado para cada n\u00f3 do Couchbase Server no cluster. Ele tamb\u00e9m precisa ser adicionado a todos os aplicativos em que os SDKs operam, bem como a todos os hosts em que os administradores acessam a interface do usu\u00e1rio, como o laptop de um administrador. N\u00e3o \u00e9 um arquivo confidencial e cont\u00e9m apenas informa\u00e7\u00f5es p\u00fablicas.<\/span><\/p>\n
      Chave privada do n\u00f3 + CSR<\/span><\/h3>\n
      As etapas desta se\u00e7\u00e3o precisar\u00e3o ser repetidas para cada n\u00f3 do Couchbase Server:<\/span><\/p>\n