关于Akka,SSL和证书管理的stackoverflow有几个问题,以实现Akka actor之间的安全(加密)对等通信.
关于远程处理的Akka文档(http://doc.akka.io/docs/akka/current/scala/remoting.html)将读者指向此资源,作为如何生成X.509证书的示例.
http://typesafehub.github.io/ssl-config/CertificateGeneration.html#generating-a-server-ca
由于actor在内部服务器上运行,因此example.com(或实际上任何DNS名称)的服务器CA的生成似乎是不相关的.大多数服务器(例如在Amazon Web Services上运行的EC2实例)将在VPC中运行,而初始Akka遥控器将是私有IP地址,如
remote = "akka.tcp://sampleActorSystem@172.16.0.10:2553"
我的理解是,应该可以创建自签名证书并生成所有对等共享的信任存储.
随着更多的Akka节点上线,他们应该(我假设)能够使用相同的自签名证书和所有其他同行使用的信任存储.我还假设,即使您没有CA,也不需要信任所有具有不断增长的证书列表的对等体,因为信任存储将验证该证书,并避免人员处于中间攻击.
理想的解决方案和希望是,可以生成单个自签名证书,无需CA步骤,单个信任存储文件,并在Akka遥控器的任意组合之间共享/(客户端调用远程和远程) ,即所有同行)
必须有一个简单的过程来为简单的内部加密和客户端身份验证生成证书(只需信任所有对等体)
问题:这些文件在每个对等体上都可以是相同的文件,这将确保它们与可信客户端通信并启用加密吗?
key-store = "/example/path/to/mykeystore.jks"
trust-store = "/example/path/to/mytruststore.jks"
问题:上面链接的X.509指令是否过度 - 有没有CA步骤的简单自签名/信任存储方法?特别是对于内部IP地址(没有DNS),并且证书中没有不断增加的IP地址网络,因为服务器可以自动升级和降级.