(Russian) Создание хранилища сертификатов для IIB

Sorry, this entry is only available in Russian.

VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)
Tagged with: , , ,
Posted in WebSphere Message Broker, Tuning
4 comments on “(Russian) Создание хранилища сертификатов для IIB
  1. LordHydra says:

    Парни, пропущено 2 команды, указания объектов паролей для кейстора и трастора. Вы указали только команду указания пути к хранилищу. Ваш пример это одно хранилище для всего брокера, хорошая практика использовать сепарированный SSL на группах исполнения.

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    • Sergey Kirsanov Sergey Kirsanov says:

      Спасибо за комментарий, но:
      1. В данном посте более детально рассмотрено создание truststore (хотя keystore создается аналогично) и указана команда для установки пароля для truststore:

      mqsisetdbparms integrationNodeName -n brokerTruststore::password -u ignore -p password

      Все на месте.
      2. По поводу “хорошая практика использовать сепарированный SSL на группах исполнения” – кто сказал и почему?
      На мой взгляд, это зависит от конкретных целей и архитектуры контура IIB.
      Например, мы, устанавливая truststore на уровне узла интеграции, преследуем две цели: простое вертикальное масштабирование серверов интеграции и легкий перенос приложений из одного сервера интеграции в другой, без дополнительных настроек.

      VN:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
  2. LordHydra says:

    Плюсов использования SSL на уровне EG множество.
    Использование 1 SSL конфигурации глобально на 1 брокер это “для ленивых” решение не гибкое.
    Допустим плюсы которые сходу видны:
    – если взаимодействий куча можно выдавать разные клиентские/серверные сертификаты по разным взаимодействиям.
    – перенастройка SSL требует рестарт конкретной группы, но не брокера.
    – в случае SSL ошибок они будут видны по конкретной группе, по которой можно включать SSL debug.
    – По разным группам есть возможность использовать разные настройки HTTPSConnector’a, если необходимо.
    – Возможность поднимать разные порты для разных сервисов шины, а не вешать все сервисы шины на 1 brokerwide листенерс разными URI.
    – Если порты для взаимодействий на брокере разные тех работы можно проводить на конкретных адаптерах чуть проще.

    Можно в целом пойти и дальше.
    В общем глобальный SSL на брокере это в моих глазах для каких то простых решений в целом.

    В плане масштабирования у нас масштабируются физические сервера, а не группы исполнения на одном брокере.

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    • Sergey Kirsanov Sergey Kirsanov says:

      Использование единого truststore глобально на узел интеграции это не для ленивых, а для хитрых!
      Ничто не мешает использовать один truststore для всего узла интеграции, при этом используя HTTP-листнеры на серверах интеграции (Integration server (embedded) listeners).
      И все плюсы, что вы перечислили, будут работать и здесь, т.е. можно использовать разные порты, настройки HTTP(S)Connector’a и сертификаты для разных серверов интеграции, а при перенастрйке требуется перезапуск только конкретного сервера интеграции.

      VN:F [1.9.22_1171]
      Rating: 0 (from 0 votes)

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Language: