Настройка TLS для МБ WSO2AM - PullRequest
Новая
       6

Настройка TLS для МБ WSO2AM

0 голосов
/ 12 октября 2018

Использование wso2am 2.2.0 с отдельными экземплярами шлюза (внешним и внутренним).Кажется, шлюз публикует информацию о трафике / регулировании через очередь jms (порт 5672).

Есть ли способ настроить TLS для трафика jms между шлюзом и диспетчером трафика?

Причина -один из шлюзов будет находиться в dmz, и существует необходимость в сквозном шифровании в dmz.Экономичный трафик также не использует TLS, но при аренде аутентификация происходит через TLS.Хотя я боюсь, что учетные данные jms (от администратора) отправляются в виде открытого текста

1 Ответ

0 голосов
/ 12 октября 2018

TLS или ssl соединение с диспетчером трафика открывается по умолчанию.Порт ssl, используемый брокером, - 8672.Это настраивается в файле TRAFFIC_MANAGER_HOME / repository / conf / broker.xml в разделе транспорта, как показано ниже. 

        <sslConnection enabled="true" port="8672">
            <keyStore>
                 <location>repository/resources/security/wso2carbon.jks</location>
                 <password>wso2carbon</password>
                 <certType>SunX509</certType>
            </keyStore>
            <trustStore>
                <location>repository/resources/security/client-truststore.jks</location>
                <password>wso2carbon</password>
                <certType>SunX509</certType>
            </trustStore>
        </sslConnection>

Вы можете проверить, открывается ли порт ssl также, проверяя журналы запускаваш узел диспетчера трафика, как показано ниже. 

[2018-10-12 16:00:00,155]  INFO - AndesContextInformationManager Queue Sync [create]: deadletterchannel
[Broker] BRK-1002 : Starting : Listening on TCP port 5672
[2018-10-12 16:00:00,157]  INFO - listening [Broker] BRK-1002 : Starting : Listening on TCP port 5672
[2018-10-12 16:00:00,158]  WARN - InboundDBSyncRequestEvent Recovering node. Adding binding [Binding]E=amq.dlc/Q=deadletterchannel/RK=deadletterchannel/D=true/EX=false
[2018-10-12 16:00:00,159]  INFO - AndesContextInformationManager Binding Sync [create]: [Binding]E=amq.dlc/Q=deadletterchannel/RK=deadletterchannel/D=true/EX=false
[Broker] BRK-1002 : Starting : Listening on TCP/SSL port 8672
[2018-10-12 16:00:00,161]  INFO - listening [Broker] BRK-1002 : Starting : Listening on TCP/SSL port 8672
[Broker] BRK-1004 : Qpid Broker Ready

После подтверждения необходимо указать правильные значения хоста, порта в узле шлюза для соединения JMS с узлом диспетчера трафика.Это можно настроить с помощью файла jndi.properties в узле шлюза, который находится по адресу API_GATEWAY_HOME / repository / conf /.Там вы должны изменить URL брокера с помощью ssl конфигурации.Пример ssl настроенного брокера URL будет выглядеть следующим образом: 

connectionfactory.TopicConnectionFactory = amqp://<USERNAME>:<PASSWORD>@clientid/carbon?brokerlist='tcp://<Traffice-Manager-IP>:8672?ssl='true'&ssl_cert_alias='<CERTIFICATE_ALIAS_IN_TRUSTSTORE>'&trust_store=' <PATH_TO_TRUST_STORE>'&trust_store_password='<TRUSTSTORE_PASSWORD>'& key_store='<PATH_TO_KEY_STORE>'&key_store_password='<KEYSTORE_PASSWOR D>'';
...