为WSO2AM的MB配置TLS

Question

使用wso2am 2.2.0具有独立的网关实例(外部和内部)。网关似乎正在通过jms队列(端口5672)发布流量/节流信息。

是否有方法为网关和流量管理器之间的jms流量配置TLS？

原因-其中一个网关将居住在非军事区，并有一个要求端到端加密在非军事区。Thrift流量也不使用TLS，但至少在TLS上进行身份验证。虽然我是附件，但jms凭据(管理用户的)都是明文发送的。

Answer 1

默认情况下，将打开来自流量管理器的TLS或ssl连接。代理使用的ssl端口是8672。这是在传输部分下的文件TRAFFIC_MANAGER_HOME/repository/conf/broker.xml，中配置的，如下所示。

        <sslConnection enabled="true" port="8672">
            <keyStore>
                 <location>repository/resources/security/wso2carbon.jks</location>
                 <password>wso2carbon</password>
                 <certType>SunX509</certType>
            </keyStore>
            <trustStore>
                <location>repository/resources/security/client-truststore.jks</location>
                <password>wso2carbon</password>
                <certType>SunX509</certType>
            </trustStore>
        </sslConnection>

您可以通过验证流量管理器节点的启动日志来验证ssl端口是否也被打开，如下所示。

[2018-10-12 16:00:00,155]  INFO - AndesContextInformationManager Queue Sync [create]: deadletterchannel
[Broker] BRK-1002 : Starting : Listening on TCP port 5672
[2018-10-12 16:00:00,157]  INFO - listening [Broker] BRK-1002 : Starting : Listening on TCP port 5672
[2018-10-12 16:00:00,158]  WARN - InboundDBSyncRequestEvent Recovering node. Adding binding [Binding]E=amq.dlc/Q=deadletterchannel/RK=deadletterchannel/D=true/EX=false
[2018-10-12 16:00:00,159]  INFO - AndesContextInformationManager Binding Sync [create]: [Binding]E=amq.dlc/Q=deadletterchannel/RK=deadletterchannel/D=true/EX=false
[Broker] BRK-1002 : Starting : Listening on TCP/SSL port 8672
[2018-10-12 16:00:00,161]  INFO - listening [Broker] BRK-1002 : Starting : Listening on TCP/SSL port 8672
[Broker] BRK-1004 : Qpid Broker Ready

在确认这一点之后，您必须在网关节点中为JMS连接到流量管理器节点放置正确的主机端口值。这可以使用网关节点中的jndi.properties文件进行配置，该文件位于API_ gateway _HOME/存储库/conf/下。在这里，您必须用ssl配置来更改broker。ssl配置的代理URL示例如下所示

connectionfactory.TopicConnectionFactory = amqp://<USERNAME>:<PASSWORD>@clientid/carbon?brokerlist='tcp://<Traffice-Manager-IP>:8672?ssl='true'&ssl_cert_alias='<CERTIFICATE_ALIAS_IN_TRUSTSTORE>'&trust_store=' <PATH_TO_TRUST_STORE>'&trust_store_password='<TRUSTSTORE_PASSWORD>'& key_store='<PATH_TO_KEY_STORE>'&key_store_password='<KEYSTORE_PASSWOR D>'';