如何在 ActiveMQ Artemis 集群上配置 SSL
How to configure SSL on ActiveMQ Artemis Cluster
我有一个集群,其中连接器和接受器配置如下:
服务器 1:
<connectors>
<connector name="netty-connector">tcp://server1:61616</connector>
</connectors>
<acceptors>
<acceptor name="artemis">tcp://0.0.0.0:61616?protocols=CORE,AMQP,STOMP,HORNETQ,OPENWIRE</acceptor>
</acceptors>
服务器 2:
<connectors>
<connector name="netty-connector">tcp://server2:61616</connector>
</connectors>
<acceptors>
<acceptor name="artemis">tcp://0.0.0.0:61616?protocols=CORE,AMQP,STOMP,HORNETQ,OPENWIRE</acceptor>
</acceptors>
现在我为每个服务器创建一个(自签名)服务器证书。我是否需要为 connector 和 acceptor 同时设置 keystorePath 和 truststorePath?或者我只需要一个 keystorePath 作为 acceptor 和 truststorePath 作为 connector?
我看到了几个示例,但是 none 效果很好(出现握手错误)。什么是正确的设置?
我试过这个设置:
服务器 1:
<connectors>
<connector name="netty-connector">tcp://server1:61616?enabledProtocols=TLSv1.2;sslEnabled=true;trustStorePath=client-ca-truststore.jks;trustStorePassword=securepass</connector>
</connectors>
<acceptors>
<acceptor name="artemis">tcp://0.0.0.0:61616?protocols=CORE,AMQP,STOMP,HORNETQ,OPENWIRE;sslEnabled=true;needClientAuth=true;keyStorePath=server1-keystore.jks;keyStorePassword=securepass</acceptor>
</acceptors>
服务器 2:
<connectors>
<connector name="netty-connector">tcp://server2:61616?enabledProtocols=TLSv1.2;sslEnabled=true;trustStorePath=client-ca-truststore.jks;trustStorePassword=securepass</connector>
</connectors>
<acceptors>
<acceptor name="artemis">tcp://0.0.0.0:61616?protocols=CORE,AMQP,STOMP,HORNETQ,OPENWIRE;sslEnabled=true;needClientAuth=true;keyStorePath=server2-keystore.jks;keyStorePassword=securepass</acceptor>
</acceptors>
在 server1 上我得到这个错误:
WARN 57399 --- [Thread-7 (activemq-netty-threads)] org.apache.activemq.artemis.core.server : AMQ222208: SSL handshake failed for client from /10.96.1.102:35944: javax.net.ssl.SSLHandshakeException: Empty client certificate chain.
在服务器 2 上
ERROR 60482 --- [Thread-0 (ActiveMQ-server-org.apache.activemq.artemis.core.server.impl.ActiveMQServerImpl@7b3af62e)] org.apache.activemq.artemis.core.client : AMQ214016: Failed to create netty connection
java.lang.IllegalStateException: No ActiveMQChannelHandler has been found while connecting to server1/10.96.1.6:61616 from Channel with id = b4c31575
WARN 60482 --- [Thread-1 (ActiveMQ-server-org.apache.activemq.artemis.core.server.impl.ActiveMQServerImpl@7b3af62e)] org.apache.activemq.artemis.core.server : AMQ222186: unable to authorise cluster control: AMQ219016: Connection failure detected. Unblocking a blocking call that will never get a response
当我启动其中一个代理时,它正常启动。当另一个节点在线时会发生错误。服务器 1 和服务器 2 尽管启动顺序总是有相同的错误。
证书是使用 keytool 创建的(在 keystore explorer 中似乎没问题)。
是设置不正确,还是证书有问题?
该组织之前的 Artemis 设置具有相互 SSL,但双向身份验证对我的用例没有任何好处。由于我的设置不起作用,我再次添加了它,但我认为它只强制客户端通过 user/password.
进行身份验证
由于您使用的是自签名证书,因此您需要在 acceptor 和 trustStorePath 以及 trustStorePassword 上指定 keyStorePath 和 keyStorePassword connector。当然两者都需要 sslEnabled=true.
代理在 examples/features/standard/ssl-enabled 目录中附带了一个使用自签名证书的示例。这基本上演示了此用例的必要条件,尽管与您正在做的方式略有不同。只需将示例中的客户端视为集群用例中的 connector,因为这正是它的本质。文档中甚至有关于如何生成所有 SSL 资源的命令。
在您尝试的配置中,您在 acceptor 上指定了 needClientAuth=true,这几乎肯定会导致问题。此设置用于启用“相互”(即 2 向)SSL,但您的问题对此一无所知。我不相信你需要这个。我建议你删除它。
我有一个集群,其中连接器和接受器配置如下:
服务器 1:
<connectors>
<connector name="netty-connector">tcp://server1:61616</connector>
</connectors>
<acceptors>
<acceptor name="artemis">tcp://0.0.0.0:61616?protocols=CORE,AMQP,STOMP,HORNETQ,OPENWIRE</acceptor>
</acceptors>
服务器 2:
<connectors>
<connector name="netty-connector">tcp://server2:61616</connector>
</connectors>
<acceptors>
<acceptor name="artemis">tcp://0.0.0.0:61616?protocols=CORE,AMQP,STOMP,HORNETQ,OPENWIRE</acceptor>
</acceptors>
现在我为每个服务器创建一个(自签名)服务器证书。我是否需要为 connector 和 acceptor 同时设置 keystorePath 和 truststorePath?或者我只需要一个 keystorePath 作为 acceptor 和 truststorePath 作为 connector?
我看到了几个示例,但是 none 效果很好(出现握手错误)。什么是正确的设置?
我试过这个设置:
服务器 1:
<connectors>
<connector name="netty-connector">tcp://server1:61616?enabledProtocols=TLSv1.2;sslEnabled=true;trustStorePath=client-ca-truststore.jks;trustStorePassword=securepass</connector>
</connectors>
<acceptors>
<acceptor name="artemis">tcp://0.0.0.0:61616?protocols=CORE,AMQP,STOMP,HORNETQ,OPENWIRE;sslEnabled=true;needClientAuth=true;keyStorePath=server1-keystore.jks;keyStorePassword=securepass</acceptor>
</acceptors>
服务器 2:
<connectors>
<connector name="netty-connector">tcp://server2:61616?enabledProtocols=TLSv1.2;sslEnabled=true;trustStorePath=client-ca-truststore.jks;trustStorePassword=securepass</connector>
</connectors>
<acceptors>
<acceptor name="artemis">tcp://0.0.0.0:61616?protocols=CORE,AMQP,STOMP,HORNETQ,OPENWIRE;sslEnabled=true;needClientAuth=true;keyStorePath=server2-keystore.jks;keyStorePassword=securepass</acceptor>
</acceptors>
在 server1 上我得到这个错误:
WARN 57399 --- [Thread-7 (activemq-netty-threads)] org.apache.activemq.artemis.core.server : AMQ222208: SSL handshake failed for client from /10.96.1.102:35944: javax.net.ssl.SSLHandshakeException: Empty client certificate chain.
在服务器 2 上
ERROR 60482 --- [Thread-0 (ActiveMQ-server-org.apache.activemq.artemis.core.server.impl.ActiveMQServerImpl@7b3af62e)] org.apache.activemq.artemis.core.client : AMQ214016: Failed to create netty connection
java.lang.IllegalStateException: No ActiveMQChannelHandler has been found while connecting to server1/10.96.1.6:61616 from Channel with id = b4c31575
WARN 60482 --- [Thread-1 (ActiveMQ-server-org.apache.activemq.artemis.core.server.impl.ActiveMQServerImpl@7b3af62e)] org.apache.activemq.artemis.core.server : AMQ222186: unable to authorise cluster control: AMQ219016: Connection failure detected. Unblocking a blocking call that will never get a response
当我启动其中一个代理时,它正常启动。当另一个节点在线时会发生错误。服务器 1 和服务器 2 尽管启动顺序总是有相同的错误。
证书是使用 keytool 创建的(在 keystore explorer 中似乎没问题)。
是设置不正确,还是证书有问题?
该组织之前的 Artemis 设置具有相互 SSL,但双向身份验证对我的用例没有任何好处。由于我的设置不起作用,我再次添加了它,但我认为它只强制客户端通过 user/password.
进行身份验证由于您使用的是自签名证书,因此您需要在 acceptor 和 trustStorePath 以及 trustStorePassword 上指定 keyStorePath 和 keyStorePassword connector。当然两者都需要 sslEnabled=true.
代理在 examples/features/standard/ssl-enabled 目录中附带了一个使用自签名证书的示例。这基本上演示了此用例的必要条件,尽管与您正在做的方式略有不同。只需将示例中的客户端视为集群用例中的 connector,因为这正是它的本质。文档中甚至有关于如何生成所有 SSL 资源的命令。
在您尝试的配置中,您在 acceptor 上指定了 needClientAuth=true,这几乎肯定会导致问题。此设置用于启用“相互”(即 2 向)SSL,但您的问题对此一无所知。我不相信你需要这个。我建议你删除它。