在Hazelcast IMDG中使用BoringSSL的正确配置设置是什么？

Question

我正在运行Hazelcast作为缓存服务，似乎我可以使用BoringSSL来改进perf，这更简单，因为我不需要安装额外的软件

阅读他们的文档：https://docs.hazelcast.com/imdg/4.1.2/security/integrating-openssl.html

我看到我只需要两个jars，但我没有看到任何提到配置设置。我只是在BasicSSLContextFactory中使用Java设置吗？

我看到我可以像这里提到的那样使用com.hazelcast.nio.ssl.BasicSSLContextFactory作为Java实现的https://docs.hazelcast.com/imdg/4.1.2/security/tls-ssl.html#tlsssl-for-hazelcast-members

他们还提供了com.hazelcast.nio.ssl.OpenSSLEngineFactory for OpenSSL integration (https://docs.hazelcast.com/imdg/4.1.2/security/integrating-openssl.html#using-openssl)

Answer 1

从Hazelcast 4.0版本开始，有以下逻辑来决定使用哪个TLS引擎：

• netty-tcnative包(包装OpenSSL，BoringSSL，.)在类路径上:使用OpenSSLEngineFactory；
• 在BasicSSLContextFactory.中，所有其他案例:使用

当然，您不需要使用缺省值，但是可以使用您选择的工厂指定factory-class-name配置属性。

您可以在OpenSSLEngineFactory中使用与BasicSSLContextFactory中相同的属性(例如keyStore*、trustStore*)。然而，配置OpenSSLEngineFactory的本机方式是使用keyFile和文档关于OpenSSL的章节中提到的其他属性。

为什么Java 11检查

如前所述，默认情况下，OpenSSLEngineFactory不用于Java11和更新版本。此决定基于Hazelcast性能测试，该测试显示了OpenSSL在与Java 8一起使用时的性能优势，但与Java 11 (或更新版本)无关。

下面是这些测试的吞吐量图(在2019年执行)。

TLSv1.2

​

TLSv1.3

​

Answer 2

BoringSSL是使用OpenSSL的库。因此，此链接是一个很好的来源。但是，如果您没有绑定到旧的Java版本，那么现在Java比OpenSSL更快，所以不需要BoringSSL。

由于SSL是Hazelcast企业特性，如果需要更详细的帮助，可以随时引发Hazelcast Zendesk票。