跳到主要内容

配置入站连接的密码套件

默认情况下,Solace PubSub+ 事件代理支持多个优先级列表的密码套件,用于入站 TLS/SSL 连接。当客户端或管理应用程序连接到事件代理时,客户端的首选套件列表会与事件代理维护的列表进行比较,客户端列表中第一个与事件代理列表匹配的套件将用于继续连接。

Solace PubSub+ 事件代理为以下每种连接类型支持不同的优先级列表:

  • 使用 SEMP 管理事件代理的网络管理应用程序(管理连接)
  • 连接到事件代理以发布或接收消息的客户端应用程序(消息主干连接)
  • SSH 连接

您可以通过删除、重新排序或清除事件代理当前支持的所有密码套件来修改每个列表。

如果您修改任何合格密码套件的列表,对现有客户端没有影响;但是,不再使用任何合格密码套件的客户端将被阻止重新连接。

有关事件代理支持的完整密码套件列表,请参见支持的密码套件。

  • 升级时,事件代理不再支持的任何密码套件将从所有密码套件列表中删除(包括您之前修改过的列表)。此外,事件代理支持的任何新密码套件将添加到所有未修改的密码套件列表中。
  • 密码套件配置不会在复制链接之间同步。因此,如果事件代理用于复制站点,您必须在每个复制的消息 VPN 上手动配置这些属性。

配置管理连接的密码套件

事件代理对来自网络管理应用程序的入站连接和到 LDAP 服务器的出站连接使用相同的密码套件列表。请注意,对此列表的任何更改都会影响这两种连接类型。

要配置管理连接的合格密码套件:

solace# configure
solace(configure)# ssl
solace(configure/ssl)# cipher-suite management name <suite-name>

其中:

<suite-name> 是您想添加到管理和 LDAP 连接的合格套件列表中的支持密码套件的名称。

此命令的否定形式 no cipher-suite management name <suite-name>,将从列表中删除密码套件。

从这个列表中删除所有密码套件超过 20 秒可能会导致基于 Kubernetes 的事件代理(主代理和备份代理)反复重启,直到您向列表中添加一个有效的套件。

配置消息主干连接的密码套件

您可以配置发布和接收消息的客户端应用程序的合格密码套件。这些连接,无论使用何种协议,都称为消息主干连接。

要配置消息主干连接的合格密码套件:

solace# configure
solace(configure)# ssl
solace(configure/ssl)# cipher-suite msg-backbone name <suite-name>

其中:

<suite-name> 是您想添加到消息主干连接的合格套件列表中的支持密码套件的名称。

此命令的否定形式 no cipher-suite msg-backbone name <suite-name>,将从列表中删除密码套件。

配置SSH连接的密码

SSH 连接支持的密码列表与管理或消息主干连接的密码套件列表不同。您不能从密码列表中添加或删除支持的密码套件,反之亦然。有关事件代理支持的 SSH 连接的完整密码列表,请参见支持的密码。

要配置 SSH 连接的合格密码:

solace# configure
solace(configure)# ssl
solace(configure/ssl)# cipher-suite ssh name <cipher-name>

其中:

<cipher-name> 是您想添加到 SSH 连接的合格密码列表中的支持密码的名称。

此命令的否定形式 no cipher-suite ssh name <cipher-name>,将从列表中删除密码。

重新排序密码和密码套件列表

事件代理维护的所有密码套件列表都是从顶部(最高)到底部(最低)优先级排序的。尽管客户端和管理应用程序确定用于入站 TLS/SSL 和 SSH 连接的密码套件的优先级,但您可以重新排序每个列表,以修改事件代理与每个密码套件关联的优先级。此外,对管理密码套件列表中优先级的任何更改也适用于出站 LDAP 连接。

要重新排序密码套件列表:

solace# configure
solace(configure)# ssl
solace(configure/ssl)# cipher-suite {management | msg-backbone | ssh} name <suite-name> [{before | after} <suite-name>]

其中:

management 指定事件代理用于入站管理和出站 LDAP 连接的密码套件列表。

msg-backbone 指定事件代理用于消息主干连接的密码套件列表。

ssh 指定事件代理用于 SSH 连接的密码列表。

name <suite-name> 是您想插入到列表中现有套件之前或之后的支持密码套件的名称。

before <suite-name> 指定由 name 参数指定的套件被插入到由 before 参数指定的套件之前。

after <suite-name> 指定由 name 参数指定的套件被插入到由 after 参数指定的套件之后。

如果您不指定位置,密码套件将被添加到列表末尾(并赋予最低优先级)。

清除密码和密码套件列表

要清除密码或密码套件列表:

solace# configure
solace(configure)# ssl
solace(configure/ssl)# cipher-suite {management | msg-backbone | ssh} empty

其中:

management 指定事件代理用于入站管理和出站 LDAP 连接的密码套件列表。

msg-backbone 指定事件代理用于消息主干连接的密码套件列表。

ssh 指定事件代理用于 SSH 连接的密码列表。

空的密码或密码套件列表将阻止客户端或管理应用程序发起连接。

重置密码和密码套件列表

要将密码或密码套件列表恢复到默认值:

solace# configure
solace(configure)# ssl
solace(configure/ssl)# cipher-suite {management | msg-backbone | ssh} default

其中:

management 指定事件代理用于入站管理和出站 LDAP 连接的密码套件列表。

msg-backbone 指定事件代理用于消息主干连接的密码套件列表。

ssh 指定事件代理用于 SSH 连接的密码列表。