ActiveMQ Artemis ha=true 和 SSL 连接器
ActiveMQ Artemis ha=true and SSL connector
我已经在 ActiveMQ Artemis(版本 2.16)上激活了 SSL 支持:
<acceptor name="artemis">tcp://{{ ansible_host }}:61616?sslEnabled=true;keyStorePath={{ artemis_broker_dir }}/etc/artemis-keystore.p12;keyStorePassword={{ artemis_keystore_password }}</acceptor>
这似乎按预期工作,但在激活集群后停止形成,因为它引用了一个不信任我使用的自签名证书的连接器。因此更新为:
<connectors>
<!-- Connector used to be announced through cluster connections and notifications -->
<connector name="artemis">tcp://{{ ansible_host }}:61616?sslEnabled=true;trustStorePath={{ artemis_broker_dir }}/etc/artemis-truststore.p12;trustStorePassword={{ artemis_truststore_password }}</connector>
</connectors>
太好了,现在集群又可以工作了。
问题是当我使用 HA=true 的客户端时,它会正确地发现到服务器的连接(因为我将配置传递给本地信任库),但随后它会从服务器检索连接配置并尝试使用来自服务器的 trustStorePath,客户端上不存在。检查代码后已经尝试使用 forceSSLParameters=true,但似乎没有解决问题。我如何告诉客户端我想使用客户端信任库而不是服务器信任库?
来自客户端的堆栈显示服务器端路径而不是客户端路径(用于初始发现连接):
[DEBUG] 2021-07-12 15:16:48.402 [Thread-3 (ActiveMQ-client-netty-threads)] SSLContextFactory - Creating SSL context with configuration
trustStorePassword=winkwink
port=61616
sslEnabled=true
host=messaging-03.domain.pt
trustStorePath=/opt/artemis/etc/artemis-truststore.p12
[WARN ] 2021-07-12 15:16:48.405 [Thread-3 (ActiveMQ-client-netty-threads)] ChannelInitializer - Failed to initialize a channel. Closing: [id: 0x0e72e4b8]
java.lang.Exception: Failed to find a store at /opt/artemis/etc/artemis-truststore.p12
at org.apache.activemq.artemis.core.remoting.impl.ssl.SSLSupport.validateStoreURL(SSLSupport.java:314) ~[artemis-core-client-2.16.0.jar:2.16.0]
尝试使用标准 Java SSL 系统属性,例如:
javax.net.ssl.keyStorejavax.net.ssl.keyStorePasswordjavax.net.ssl.trustStorejavax.net.ssl.trustStorePassword
或者,如果您的客户端已经在使用这些,您可以使用 ActiveMQ Artemis 特有的这些:
org.apache.activemq.ssl.keyStoreorg.apache.activemq.ssl.keyStorePasswordorg.apache.activemq.ssl.trustStoreorg.apache.activemq.ssl.trustStorePassword
这在the documentation中都有描述。
另一种选择是在 broker.xml 中的 connector 上简单地指定密钥库和信任库的 名称(例如 artemis-keystore.p12 & artemis-truststore.p12 分别)。只要文件在类路径上(例如在代理的 etc 目录中),就会找到它。然后客户端只需要使用也在其类路径中的具有相同名称的工件。您可以在代理随附的 "ssl-enabled" example 中看到这一点。
在我看来,最好的选择就是让您的 SSL 证书由受信任的机构签署,而不是自行签署。然后你根本不需要弄乱信任库,客户端就会正常工作。
我已经在 ActiveMQ Artemis(版本 2.16)上激活了 SSL 支持:
<acceptor name="artemis">tcp://{{ ansible_host }}:61616?sslEnabled=true;keyStorePath={{ artemis_broker_dir }}/etc/artemis-keystore.p12;keyStorePassword={{ artemis_keystore_password }}</acceptor>
这似乎按预期工作,但在激活集群后停止形成,因为它引用了一个不信任我使用的自签名证书的连接器。因此更新为:
<connectors>
<!-- Connector used to be announced through cluster connections and notifications -->
<connector name="artemis">tcp://{{ ansible_host }}:61616?sslEnabled=true;trustStorePath={{ artemis_broker_dir }}/etc/artemis-truststore.p12;trustStorePassword={{ artemis_truststore_password }}</connector>
</connectors>
太好了,现在集群又可以工作了。 问题是当我使用 HA=true 的客户端时,它会正确地发现到服务器的连接(因为我将配置传递给本地信任库),但随后它会从服务器检索连接配置并尝试使用来自服务器的 trustStorePath,客户端上不存在。检查代码后已经尝试使用 forceSSLParameters=true,但似乎没有解决问题。我如何告诉客户端我想使用客户端信任库而不是服务器信任库?
来自客户端的堆栈显示服务器端路径而不是客户端路径(用于初始发现连接):
[DEBUG] 2021-07-12 15:16:48.402 [Thread-3 (ActiveMQ-client-netty-threads)] SSLContextFactory - Creating SSL context with configuration
trustStorePassword=winkwink
port=61616
sslEnabled=true
host=messaging-03.domain.pt
trustStorePath=/opt/artemis/etc/artemis-truststore.p12
[WARN ] 2021-07-12 15:16:48.405 [Thread-3 (ActiveMQ-client-netty-threads)] ChannelInitializer - Failed to initialize a channel. Closing: [id: 0x0e72e4b8]
java.lang.Exception: Failed to find a store at /opt/artemis/etc/artemis-truststore.p12
at org.apache.activemq.artemis.core.remoting.impl.ssl.SSLSupport.validateStoreURL(SSLSupport.java:314) ~[artemis-core-client-2.16.0.jar:2.16.0]
尝试使用标准 Java SSL 系统属性,例如:
javax.net.ssl.keyStorejavax.net.ssl.keyStorePasswordjavax.net.ssl.trustStorejavax.net.ssl.trustStorePassword
或者,如果您的客户端已经在使用这些,您可以使用 ActiveMQ Artemis 特有的这些:
org.apache.activemq.ssl.keyStoreorg.apache.activemq.ssl.keyStorePasswordorg.apache.activemq.ssl.trustStoreorg.apache.activemq.ssl.trustStorePassword
这在the documentation中都有描述。
另一种选择是在 broker.xml 中的 connector 上简单地指定密钥库和信任库的 名称(例如 artemis-keystore.p12 & artemis-truststore.p12 分别)。只要文件在类路径上(例如在代理的 etc 目录中),就会找到它。然后客户端只需要使用也在其类路径中的具有相同名称的工件。您可以在代理随附的 "ssl-enabled" example 中看到这一点。
在我看来,最好的选择就是让您的 SSL 证书由受信任的机构签署,而不是自行签署。然后你根本不需要弄乱信任库,客户端就会正常工作。