每个 SolrCloud 节点都应该有自己的 ssl 证书吗?
Should each SolrCloud node have its own ssl certificate?
我正在尝试为 SolrCloud 启用 SSL 以与 Sitecore 一起使用。我目前有一个外部程序集,由三个 Azure 虚拟机上的三个 Zookeeper 节点和两个 Azure 虚拟机上的两个 Solr 6.6.6 节点组成。
我正在按照 Apache 文档中概述的步骤进行操作:https://lucene.apache.org/solr/guide/6_6/enabling-ssl.html
我应该为每个节点生成一个单独的证书,还是应该只在一个节点上创建它并以某种方式共享?我在想,也许在后面的步骤中,Zookeeper 会以某种方式分发它,但我不清楚方向。
我检查了类似的问题并发现了这个:inter-Solr-node communication with SSL 但它并没有真正解决我是否应该首先生成单独的证书。
考虑到您所描述的设置,您甚至可以通过 off-loading 应用程序网关上的 SSL(我可以假设您正在使用 Azure 应用程序网关来平衡到 Solr 节点的流量)然后转发使其更简单App Gateway 通过 HTTP 向 Solr 节点发出请求(无 SSL)
如果您将 ZK 和 Solr 节点配置为通过内部 IP 地址进行通信,并且 vnet/nsg 仅允许来自 App Gateway 的请求,则此设置不会产生任何安全影响。
如果您坚持使用 SSL 保留 SolrCloud,我认为应该是一个单一的证书。
注意:不要忘记让 Zookeeper 知道整个 SolrCloud 应该通过设置参数使用 SSL(参见步骤 #7 作为示例https://github.com/ivanbuzyka/Sitecore.SolrCloudConfiguration/wiki/3.-Install-Zookeeper-as-a-service)
我正在尝试为 SolrCloud 启用 SSL 以与 Sitecore 一起使用。我目前有一个外部程序集,由三个 Azure 虚拟机上的三个 Zookeeper 节点和两个 Azure 虚拟机上的两个 Solr 6.6.6 节点组成。
我正在按照 Apache 文档中概述的步骤进行操作:https://lucene.apache.org/solr/guide/6_6/enabling-ssl.html
我应该为每个节点生成一个单独的证书,还是应该只在一个节点上创建它并以某种方式共享?我在想,也许在后面的步骤中,Zookeeper 会以某种方式分发它,但我不清楚方向。
我检查了类似的问题并发现了这个:inter-Solr-node communication with SSL 但它并没有真正解决我是否应该首先生成单独的证书。
考虑到您所描述的设置,您甚至可以通过 off-loading 应用程序网关上的 SSL(我可以假设您正在使用 Azure 应用程序网关来平衡到 Solr 节点的流量)然后转发使其更简单App Gateway 通过 HTTP 向 Solr 节点发出请求(无 SSL) 如果您将 ZK 和 Solr 节点配置为通过内部 IP 地址进行通信,并且 vnet/nsg 仅允许来自 App Gateway 的请求,则此设置不会产生任何安全影响。
如果您坚持使用 SSL 保留 SolrCloud,我认为应该是一个单一的证书。 注意:不要忘记让 Zookeeper 知道整个 SolrCloud 应该通过设置参数使用 SSL(参见步骤 #7 作为示例https://github.com/ivanbuzyka/Sitecore.SolrCloudConfiguration/wiki/3.-Install-Zookeeper-as-a-service)