跳到主要内容

配置服务器证书验证设置

您可以配置服务器证书验证设置,以使证书验证更加安全或不太安全。这些设置用于验证在 TLS/SSL 握手期间从远程事件代理传递到本地事件代理的服务器证书。

可以为消息 VPN 桥接和复制配置同步桥接指定证书验证设置。

您可以进行以下证书验证配置:

  • 启用服务器名称验证
  • 配置最大证书链深度
  • 启用证书日期验证

当您更改消息 VPN 桥接的服务器证书验证设置时,PubSub+ 代理会自动断开并重新连接消息 VPN 中的所有 TLS 启用的桥接,以启用更改。

有关为消息 VPN 桥接设置客户端证书的信息,请参阅配置客户端证书身份验证。

启用服务器名称验证

您可以启用或禁用 TLS 身份验证机制,以验证用于连接到远程代理的名称。如果启用,用于该连接的服务器名称将与从远程代理返回的证书中的主题备用名称(SAN)扩展中的服务器名称进行验证。

服务器名称验证默认启用,并应在所有生产场景中保持启用状态。

  • 消息 VPN 桥接

    要启用消息 VPN 桥接的服务器名称验证,请输入以下命令:

    solace(configure)# message-vpn <vpn-name>
    solace(configure/message-vpn)# bridging ssl server-certificate-validation
    solace(...ing/ssl/server-certificate-validation)# validate-server-name

  • 复制配置同步桥接

    要启用复制配置同步桥接的服务器名称验证,请输入以下命令:

    solace(configure)# replication
    solace(configure/replication)# config-sync bridge ssl-server-certificate-validation
    solace(...dge/ssl-server-certificate-validation)# validate-server-name

这些命令的否定形式 no validate-server-name 将禁用服务器名称验证。

配置最大证书链深度

证书链的深度是证书链中回溯到受信任的自签名根 CA 证书的签名 CA 证书的数量。设置最大证书链深度意味着桥接连接将拒绝任何深度超过最大限制的证书。

  • 消息 VPN 桥接

    要配置消息 VPN 桥接的最大证书链深度,请输入以下命令:

    solace(configure)# message-vpn <vpn-name>
    solace(configure/message-vpn)# bridging ssl server-certificate-validation
    solace(...ing/ssl/server-certificate-validation)# max-certificate-chain-depth <max-depth>

    其中:

    <max-depth> 是一个从 0 到 8 的数字,指定证书链中可能存在的最大签名 CA 证书数量。默认值为 3。

  • 复制配置同步桥接

    要配置复制配置同步桥接的最大证书链深度,请输入以下命令:

    solace(configure)# replication
    solace(configure/replication)# config-sync bridge ssl-server-certificate-validation
    solace(...dge/ssl-server-certificate-validation)# max-certificate-chain-depth <max-depth>

    其中:

    <max-depth> 是一个从 0 到 8 的数字,指定证书链中可能存在的最大签名 CA 证书数量。默认值为 3。

这些命令的否定形式 no max-certificate-chain-depth 将此参数重置为其默认值。

启用证书日期验证

证书可能指定“生效前”和“生效后”日期,以提供它们有效的时段。此设置将启用或禁用这些日期的验证。如果禁用此检查,即使证书中提供的有效日期范围未满足,桥接也会接受证书。

默认情况下,证书日期验证是启用的。

  • 消息 VPN 桥接

    要启用消息 VPN 桥接的证书日期验证,请输入以下命令:

    solace(configure)# message-vpn <vpn-name>
    solace(configure/message-vpn)# bridging ssl server-certificate-validation
    solace(...ing/ssl/server-certificate-validation)# validate-certificate-date

  • 复制配置同步桥接

    要启用复制配置同步桥接的证书日期验证,请输入以下命令:

    solace(configure)# replication
    solace(configure/replication)# config-sync bridge ssl-server-certificate-validation
    solace(...dge/ssl-server-certificate-validation)# validate-certificate-date

这些命令的否定形式 no validate-certificate-date 将禁用证书日期验证。