是否应该使用相同的Java密钥存储库进行SSL和HTTPS通信？

Question

--一点上下文

我有3个运行Zookeeper和ActiveMQ的实例。我想使我的通信安全，所以我必须担心三件事：

• 跟随者和领导者如何沟通(动物园管理员的法定人数)
• ActiveMQ使用者如何与它通信(应用程序/SSL)
• 我的团队如何访问ActiveMQ WebConsole (https)

好吧，第一例根据动物园管理员的文件是不可能的。

在我的第二个案例中，我创建了我自己的CA证书，以及我自己的证书和密钥存储库。这就是我在/etc/activemq/conf/activemq.xml上使用它们的方式

...
    <persistenceAdapter>

        <replicatedLevelDB
            directory="${activemq.data}/leveldb"
            replicas="3"
            bind="tcp://0.0.0.0:61616"
            zkAddress="activemq1.company.com:2881,activemq2.company.com:2881,activemq3.company.com:2881"
            zkPassword="password"
            zkPath="/activemq/leveldb-stores"
            hostname="activemq3.company.com"
        />


    </persistenceAdapter>
    <sslContext>
        <sslContext keyStore="/usr/share/ca-certificates/company/activemq/keystore" keyStorePassword="password-2" trustStore="/usr/share/ca-certificates/company/activemq/trustore" trustStorePassword="password-2" />
    </sslContext>
...

最后，是我的第三个例子；为了拥有一个有效的证书颁发机构，我使用让我们来个秘密 api来生成新的有效证书，并使用它们创建一个新的密钥存储库，其用法如下：

...
<!--
    Enable this connector if you wish to use https with web console
-->
<bean id="SecureConnector" class="org.eclipse.jetty.server.ServerConnector">
        <constructor-arg ref="Server" />
                <constructor-arg>
                        <bean id="handlers" class="org.eclipse.jetty.util.ssl.SslContextFactory">
                                <property name="keyStorePath" value="${activemq.conf}/keystore.jks" />
                                <property name="keyStorePassword" value="password-3" />
                        </bean>
                </constructor-arg>
        <property name="port" value="8162" />
</bean>
...

问题

对于SSL和HTTPS通信，我应该使用相同的密钥存储库吗？或者我应该保持他们分开更多(也许？)安全措施？

Answer 1

当然，共享一个证书是可能的。但是我通常会给每个服务器它自己的证书(客户机证书)，我建议使用相同的CA单独签名。