跳到主要内容

TLS/SSL服务连接

本节提供了启用 TLS/SSL 加密通信链路所需的通用步骤,适用于以下用例:

发布和接收消息

默认情况下,当客户端消息应用程序连接到事件代理时,该连接是不安全的。然而,客户端应用程序可以选择建立与事件代理的 TLS/SSL 加密连接。有关建立客户端发布和/或接收消息的安全连接所需的基本步骤,请参见发布/接收消息的 TLS/SSL 加密配置。

消息 VPN 桥接

消息可以通过消息 VPN 桥接在消息 VPN 之间传输。请参见 VPN 桥接的 TLS/SSL 加密配置。有关消息 VPN 桥接的更多信息,请参见消息 VPN 桥接配置。

复制配置同步桥接

处于复制配置中的事件代理可以使用 Config-Sync 来确保复制的消息 VPN 的配置保持同步。启用后,复制功能会创建一个特殊的桥接来传输 Config-Sync 命令。请参见复制配置同步桥接的 TLS/SSL 加密配置。有关复制和 Config-Sync 的更多信息,请参见配置复制。

消息 VPN 复制桥接

使用复制的消息 VPN 会将一个消息 VPN 接收到的所有消息同步到另一个备用消息 VPN。同步的消息会通过消息 VPN 复制桥接传输。请参见复制桥接的 TLS/SSL 加密配置。

有关消息 VPN 复制的更多信息,请参见配置复制。

SEMP 请求

Solace 元素管理协议(SEMP)是一种可用于管理和监控事件代理的协议。有关建立当前 RESTful SEMP API 或传统 SEMP API 的安全连接所需的基本步骤,请参见 SEMP 服务的 TLS/SSL 加密配置。

多节点路由链路

多节点路由(MNR)允许多个事件代理网络连接在一起,以便从连接到一个事件代理的客户端发布的直接消息可以传递给连接到其他事件代理的客户端。对于运行 Solace PubSub+ 8.2 或更高版本的设备,可以将 TLS/SSL 加密应用于 MNR 链路的数据通道。

有关在相邻设备之间的数据连接上使用 TLS/SSL 加密所需的基本步骤,请参见配置邻居链路加密。

HA 配置同步

可以将 TLS/SSL 加密应用于 HA 组中事件代理之间的配置同步通信。请参阅步骤 4:启用配置同步,了解在软件事件代理 HA 组中进行配置的说明,以及启用 HA 设备的保证消息传递,了解适用于设备的说明。

HA 配对链路

可以将 TLS/SSL 加密应用于 HA 组中软件事件代理之间的配对链路。请参阅步骤 3:在 HA 组配置页面上启用保证消息传递,获取配置说明。

发布/接收消息的TLS/SSL加密配置

要使用 TLS/SSL 加密通信在事件代理和客户端应用程序之间发布和接收消息,需要进行以下配置步骤:

  1. 设置并配置事件代理的服务器证书。 请参阅管理服务器证书。

  2. 可选地,配置用于到事件代理的消息主干连接的密码套件列表。 请参阅配置入站连接的密码套件。

  3. 配置一个 TLS/SSL 服务监听端口作为事件代理将使用的其中一个服务端口。

    根据您使用的服务,请参阅以下内容之一:

    AMQP— 设置消息 VPN AMQP 监听端口。

    MQTT— 设置监听端口。

    REST— 设置监听端口。

    SMF— 设置 SMF 监听端口。

    Web 传输— 设置 Web 传输监听端口。

  4. 确保在客户端将使用的消息 VPN 上启用了 TLS/SSL over SMF 服务。 请参阅配置服务。

  5. 启动服务。 请参阅服务。

如果您正在为 Solace 消息格式(SMF)服务配置 TLS/SSL,请执行以下额外步骤:

  1. 如果您只想使用加密来保护客户端的凭据,但由于性能原因,您不想在客户端经过身份验证和授权后加密传输的数据,则必须在客户端将使用的消息 VPN 上启用 SSL 连接降级。

    请参阅在消息 VPN 上启用 TLS/SSL 连接降级。

  2. 配置客户端连接到事件代理所需的 TLS/SSL 相关会话属性。

    请参阅为 Solace 消息 API 创建客户端会话或为 Solace JMS 消息 API 建立连接。

VPN桥接的TLS/SSL加密配置

可以在创建消息 VPN 桥接后配置 TLS/SSL。在消息 VPN 桥接上建立 TLS/SSL 加密所需的步骤取决于桥接是单向还是双向,以及桥接使用基本认证还是客户端证书认证。

如果您要在现有桥接上配置 TLS/SSL 加密,您必须在遵循以下适当步骤时创建一个新的远程消息 VPN。

如果您希望现有远程消息 VPN 的桥接连接使用 SSL 加密,则必须删除并重新创建桥接,并将远程消息 VPN 的 connect-via 参数设置为使用远程事件代理的 TLS/SSL 端口。

有关创建消息 VPN 桥接所需的 CLI 命令示例,请参见 VPN 桥接设置示例。

不支持从 TLS/SSL 到纯文本或纯文本压缩的降级。

单向 VPN 桥接配置

在建立桥接后,请按照以下步骤启用桥接上的加密:

  1. 关闭消息 VPN 桥接。

    solace1(configure/bridge)# shutdown

  2. 在远程事件代理上上传并配置 SSL 服务器证书。本地事件代理上设置的受信任 CA 证书必须与远程事件代理上设置的证书相匹配。

    请参阅管理服务器证书。

  3. 可选地,配置服务器证书验证设置。这些设置将用于在 SSL 握手期间验证远程事件代理上的服务器证书。

    请参阅配置服务器证书验证设置。

  4. 配置消息 VPN 桥接将使用的 TLS/SSL 设置(受信任的通用名称列表和密码套件列表)。请参阅启用桥接连接的 TLS/SSL 加密。 受信任的通用名称应与步骤 2 中配置的服务器证书中的通用名称相匹配。

  5. 选择桥接的认证方案。 请参阅配置远程认证。

  6. 配置一个新的远程消息 VPN,并将 connect-via 参数设置为使用远程事件代理的 SSL 端口。远程消息 VPN 的认证参数必须配置为允许 SSL 连接。请参阅配置远程消息 VPN。

  7. 配置远程消息 VPN 使用 SSL。

    solace1(configure/bridge/remote/message-vpn)# ssl

  8. 启动远程消息 VPN。

    solace1(configure/bridge/remote/message-vpn)# no shutdown

  9. 启动消息 VPN 桥接。

    solace1(configure/bridge)# no shutdown

    已在新的远程消息 VPN 上建立了一个具有 TLS/SSL 加密和压缩的单向消息 VPN 桥接。

双向 VPN 桥接配置

要建立一个使用加密的双向消息 VPN 桥接,请重复上述步骤,以相同的名称配置另一个桥接,使用相同的消息 VPN,但顺序相反。

也就是说,第二个桥接必须在之前指定为远程消息 VPN 的消息 VPN 中创建,而第二个桥接的远程消息 VPN 必须是之前指定为本地消息 VPN 的消息 VPN。

如果双向桥接不是回环桥接(即,它连接两个不同的事件代理),并且第二个桥接是使用 connect-via 参数配置的,则必须在第二个桥接的本地事件代理上配置 SSL 服务器证书,该本地事件代理是第一个桥接的远程事件代理。

复制配置同步桥接的TLS/SSL加密配置

可以使用以下配置步骤在事件代理上启用复制配置同步桥接的 TLS/SSL 加密通信。

当在配对的事件代理上启用复制和配置同步时,配置更改将通过复制配置同步桥接从一个事件代理同步到另一个事件代理。

由于复制配置同步桥接上使用的 ssl 参数不会与配置同步同步,因此在加密配置同步正常工作之前,必须在两个事件代理上启用复制配置同步桥接的 TLS/SSL。

有关复制和配置同步的更多信息,请参见配置复制和配置同步配置。

  1. 关闭复制配置同步桥接。

    solace1(configure)# replication config-sync bridge
    solace1(configure/replication/config-sync/bridge)# shutdown

  2. 在远程事件代理上上传并配置 SSL 服务器证书,并在本地事件代理上配置匹配的受信任 CA 证书。

    请参阅管理服务器证书。

  3. 可选地,为复制配置同步桥接配置服务器证书验证设置。

    请参阅配置服务器证书验证设置。

  4. 选择并配置桥接的认证方案。

    请参阅设置认证方案。

  5. 配置复制配置同步桥接使用 TLS/SSL。

    solace1(configure)# replication config-sync bridge
    solace1(configure/replication/config-sync/bridge)# ssl

  6. 启用复制配置同步桥接。

    solace1(configure)# replication config-sync bridge
    solace1(configure/replication/config-sync/bridge)# no shutdown

  7. 在配对事件代理上重复步骤 1 至 6,以创建双向复制配置同步桥接。

    现在已为连接事件代理的复制配置同步桥接启用了 SSL 加密通信。

复制桥接的TLS/SSL加密配置

可以使用以下配置步骤在事件代理上通过消息 VPN 复制桥接启用 TLS/SSL 加密通信。

使用复制和配置同步的事件代理使用不同的桥接进行消息 VPN 复制和配置复制。

此过程要求已在事件代理之间设置复制。有关设置复制的更多信息,请参见配置复制。

在开始此过程之前,必须关闭复制。

  1. 选择一个将用于桥接认证的客户端用户名。这必须是复制的消息 VPN 上的有效客户端用户名。

  2. 为所选客户端用户名配置客户端配置文件,以允许桥接连接。此参数将通过配置同步自动设置在配对事件代理上。

    请参阅允许桥接连接。

  3. 上传并配置 TLS/SSL 服务器证书。在事件代理上设置的受信任 CA 证书必须与其配对事件代理上设置的证书相匹配。

    请参阅管理服务器证书。

  4. 可选地,为消息 VPN 复制桥接配置服务器证书验证设置。

    请参阅配置服务器证书验证设置。

  5. 可选地,为消息 VPN 复制桥接配置 TLS/SSL 设置(受信任的通用名称列表和密码套件列表)。

    请参阅配置复制的 TLS/SSL。

  6. 选择桥接的认证方案。

    请参阅设置认证方案。

  7. 配置所选认证方案:

    • 如果您使用基本认证,请指定用于认证的客户端用户名。

      solace1(configure/message-vpn)# replication bridge authentication basic
      solace1(...plication/bridge/authentication/basic)# client-username <name>

    • 如果您使用客户端证书认证,请指定用于认证的证书。

      solace1(configure/message-vpn)# replication bridge authentication client-certificate
      solace1(...dge/authentication/client-certificate)# certificate-file <filename>

      客户端证书中的通用名称用作客户端用户名登录到远程消息 VPN,因此它必须与远程事件代理上的有效用户匹配。远程消息 VPN 必须启用客户端证书认证,并遵循在本地消息 VPN 上配置的客户端证书规则。

  8. 配置复制桥接使用 TLS/SSL 加密。

    solace1(configure)# message-vpn <local-message-vpn>
    solace1(configure/msg-vpn)# replication bridge ssl

  9. 启用复制。

    solace1(configure/msg-vpn)# no replication shutdown

  10. 在远程消息 VPN 的事件代理上重复步骤 2 至 9,以创建双向消息 VPN 复制桥接。

SEMP服务的TLS/SSL加密配置

要使用 TLS/SSL 加密通信在事件代理和使用 SEMP 请求的管理应用程序之间,需要进行以下配置步骤:

  1. 设置事件代理的服务器证书。

    请参阅管理服务器证书。

  2. 可选地,配置用于到事件代理的管理连接的密码套件列表。 请参阅配置入站连接的密码套件。

  3. 配置一个 TLS/SSL 服务监听端口作为事件代理将使用的一个服务端口。

    请参阅设置 SEMP 监听端口。

  4. 启用 SEMP 服务。 请参阅启用系统级 SEMP 服务。

  5. 在从管理应用程序到事件代理建立连接之前,必须使用带有适当端口的 HTTPS URL 方案。