1.4. 配置加密

数据中心服务器可以强制实施不同类型的 SSL/TLS 加密来保护 Hot Rod JS 客户端连接。

先决条件

创建 Hot Rod JS 客户端可用于验证数据中心服务器身份的信任存储。
如果您将 Data Grid 服务器配置为验证或验证客户端证书，请根据需要创建密钥存储。

流程

打开 Hot Rod JS 客户端配置进行编辑。
添加设置 enabled: true 标记的 ssl 方法。
提供特定于您使用的加密类型的任何其他配置。

1.4.1. 加密类型
复制链接

热 Rod JS 客户端可以使用不同类型的加密来与 Data Grid Server 协商安全连接。

Data Grid Server 身份

对于基本加密，您可以在配置中为 Data Grid Server 证书添加签名证书或 CA 捆绑包，如下所示：

注意

要验证发布到 Data Grid Server 的证书，Hot Rod JS 客户端需要完整证书链或以 Root CA 开头的部分链。

var connected = infinispan.client({port: 11222, host: '127.0.0.1'},
  {
    ssl: {
      enabled: true,
      trustCerts: ['my-root-ca.crt.pem']
    }
  }
);

var connected = infinispan.client({port: 11222, host: '127.0.0.1'},
  {
    ssl: {
      enabled: true,
      trustCerts: ['my-root-ca.crt.pem']
    }
  }
);

Copy to Clipboard

Toggle word wrap

信任存储

您可以使用 PKCS12 或 PFX 格式添加信任存储，如下所示：

var connected = infinispan.client({port: 11222, host: '127.0.0.1'},
  {
    ssl: {
      enabled: true,
      cryptoStore: {
        path: 'my-truststore.p12',
        passphrase: 'secret'
      }
    }
  }
);

var connected = infinispan.client({port: 11222, host: '127.0.0.1'},
  {
    ssl: {
      enabled: true,
      cryptoStore: {
        path: 'my-truststore.p12',
        passphrase: 'secret'
      }
    }
  }
);

Copy to Clipboard

Toggle word wrap

客户端证书身份验证

如果您在 Data Grid 服务器配置中启用客户端证书身份验证，请添加密钥存储，如下例所示：

注意

在使用客户端证书身份验证时，您必须使用 EXTERNAL 身份验证机制配置 Hot Rod JS 客户端。

var connected = infinispan.client({port: 11222, host: '127.0.0.1'},
  {
    ssl: {
      enabled: true,
      trustCerts: ['my-root-ca.crt.pem'],
      clientAuth: {
        key: 'privkey.pem',
        passphrase: 'secret',
        cert:ssl 'cert.pem'
      }
    }
  }
);

var connected = infinispan.client({port: 11222, host: '127.0.0.1'},
  {
    ssl: {
      enabled: true,
      trustCerts: ['my-root-ca.crt.pem'],
      clientAuth: {
        key: 'privkey.pem',
        passphrase: 'secret',
        cert:ssl 'cert.pem'
      }
    }
  }
);

Copy to Clipboard

Toggle word wrap

服务器名称验证(SNI)

如果您使用 SNI 来允许 Hot Rod JS 客户端请求 Data Grid Server 主机名，请为与 Data Grid 服务器配置中主机名匹配的 sniHostName 参数设置一个值。

注意

sniHostName 参数默认为 localhost。

var connected = infinispan.client({port: 11222, host: '127.0.0.1'},
  {
    ssl: {
      enabled: true,
      trustCerts: ['my-root-ca.crt.pem']
      sniHostName: 'example.com'
    }
  }
);

var connected = infinispan.client({port: 11222, host: '127.0.0.1'},
  {
    ssl: {
      enabled: true,
      trustCerts: ['my-root-ca.crt.pem']
      sniHostName: 'example.com'
    }
  }
);

Copy to Clipboard

Toggle word wrap

提示

默认情况下，热 Rod JS 客户端不允许自签名证书，这可能会导致开发或测试环境中没有公共证书颁发机构(CA)密钥的问题。

查看 Data Grid 代码教程中有关使用 Java keytool 创建签名证书的示例。

1.4. 配置加密

1.4.1. 加密类型
复制链接

Data Grid Server 身份

信任存储

客户端证书身份验证

服务器名称验证(SNI)

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.4. 配置加密

1.4.1. 加密类型复制链接链接已复制到粘贴板!

Data Grid Server 身份

信任存储

客户端证书身份验证

服务器名称验证(SNI)

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.4.1. 加密类型
复制链接