跳到主要内容

管理服务器证书

要启用 TLS/SSL 加密,您必须设置 Solace PubSub+ 事件代理要使用的 TLS/SSL 服务器证书文件。此服务器证书在 TLS/SSL 握手期间呈现给客户端。服务器证书必须是 x509v3 证书,并包含私钥。服务器证书和密钥使用 RSA 算法进行私钥生成、加密和解密,它们都必须使用隐私增强邮件(PEM)格式进行编码。

为事件代理设置的单个服务器证书文件可以具有最大链深度三(即,单个证书文件可以包含多达三个证书链,可用于证书验证)。

要配置的 TLS/SSL 证书文件必须位于事件代理文件系统上的 /usr/sw/jail/certs 目录中。

要使用 TLS/SSL 服务器证书,您必须执行以下步骤:

  • 将一个或多个服务器证书文件加载到事件代理上。请参阅加载服务器证书文件。
  • 设置用于 SSL 通信的服务器证书文件。请参阅设置要使用的服务器证书。
  • 配置事件代理用于出站 TLS 连接和验证连接客户端的 CA 证书。请参阅证书颁发机构。

加载服务器证书文件

要加载事件代理上的服务器证书,请输入以下命令:

solace# copy sftp://[<username>@]<ip-addr>/<remote-pathname> /certs/<certificate-file>

其中:

<username> 是访问远程证书文件所需的 SFTP 用户名(如果需要)。

<ip-addr> 是存储远程证书文件的 SFTP 服务器的地址。

<remote-pathname> 是从服务器根目录到证书文件的路径。

<certificate-file> 是在事件代理上用于证书的文件名。

有关如何将文件添加到事件代理文件系统的更多信息,请参阅事件代理文件管理。

设置要使用的服务器证书

要设置事件代理要使用的服务器证书,请输入以下命令:

solace(configure)# ssl
solace(configure/ssl)# server-certificate <filename>

其中:

<filename> 是证书的文件名。此文件必须位于事件代理上的 /usr/sw/jail/certs 目录中。配置证书后,其副本将被内部保存。certs 目录中的文件不再需要。

此命令的 no 版本,no server-certificate,清除为事件代理设置的服务器证书。

  • 为了维护私钥的安全性并防止未经授权的用户从事件代理复制私钥,Solace 强烈建议仅使用受密码保护的私钥用于服务器证书。
  • 在客户端已建立到事件代理的 TLS/SSL 连接后,可以更改使用的证书文件。已经使用先前证书建立安全连接的任何客户端不受影响。但是,一旦它们断开连接,它们将无法使用先前的证书重新建立连接。
  • 如果您想用新的证书替换之前设置的服务器证书,请使用相同的命令设置新的服务器证书。只能为事件代理设置一个服务器证书。
  • 对于 PEM 编码的证书,最大大小为 32 千字节。此限制适用于包括所有组件(证书、证书链、私钥、主题备用名称等)在内的整个证书。
  • 对于 DER 编码的证书(PEM 格式的二进制编码版本),最大大小为 24 千字节。

配置同步不会自动同步此对象或属性。因此,如果事件代理用于高可用性(HA)冗余配置或复制站点,您必须在每个配对事件代理或复制的消息 VPN 上手动配置此对象/属性。

要确定对象/属性是否由配置同步同步,请在 CLI 命令参考中查找用于配置对象/属性的命令,或在 Solace CLI 中输入该命令,并以 " ?" 结尾。帮助列表将显示对象/属性是否被同步。