1.7. Elytron 与 ModCluster 子系统集成

elytron 子系统公开的其中一个安全功能是客户端 ssl-context，可用于配置 modcluster 子系统以使用 SSL/TLS 与负载平衡器通信。

在保护应用服务器和负载均衡器之间的通信时，您需要定义客户端 ssl-context 以便：

创建客户端 SSL 上下文。
在使用 SSL/TLS 连接到负载平衡器时，mod cluster 子系统将使用此 SSL 上下文：
```
/subsystem=elytron/client-ssl-context=modcluster-client-ssl-context:add(trust-manager=default-trust-manager)
```

使用以下选项之一引用新创建的客户端 SSL 上下文：

通过设置 ssl-context，配置 modcluster 子系统。

/subsystem=modcluster/mod-cluster-config=configuration:write-attribute(name=ssl-context, value=modcluster-client-ssl-context)

通过定义 mod-cluster 过滤器的 ssl-context 属性，配置 undertow 子系统。

/subsystem=undertow/configuration=filter/mod-cluster=modcluster:write-attribute(name=ssl-context,value=modcluster-client-ssl-context)

若要配置 modcluster 子系统并使用双向身份验证，以及信任管理器，也需要配置密钥管理器。

创建密钥存储。

/subsystem=elytron/key-store=twoWayKS:add(path=/path/to/client.keystore.jks, credential-reference={clear-text=secret},type=JKS)

配置密钥管理器.

/subsystem=elytron/key-manager=twoWayKM:add(key-store=twoWayKS, algorithm="SunX509", credential-reference={clear-text=secret})

创建客户端 SSL 上下文。

/subsystem=elytron/client-ssl-context=modcluster-client-ssl-context:add(trust-manager=default-trust-manager, key-manager=twoWayKM)

注意

如果您已有客户端 SSL 上下文，您可以将 key-manager 添加到其中，如下所示：

/subsystem=elytron/client-ssl-context=modcluster-client-ssl-context:write-attribute(name=key-manager, value=twoWayKM)