简单的 Akka ssl 加密

Question

* 上有几个关于 Akka、SSL 和证书管理的问题，以实现 Akka 参与者之间的安全（加密）点对点通信。

关于远程处理的 Akka 文档 (http://doc.akka.io/docs/akka/current/scala/remoting.html) 将读者引向此资源作为如何生成 X.509 证书的示例。

http://typesafehub.github.io/ssl-config/CertificateGeneration.html#generating-a-server-ca

由于参与者在内部服务器上运行，为example.com（或实际上是任何 DNS 名称）生成服务器 CA 似乎无关。 大多数服务器（例如在 Amazon Web Services 上运行的 EC2 实例）将在 VPC 中运行，并且初始 Akka 远程将是私有 IP 地址，例如

remote = "akka.tcp://sampleActorSystem@172.16.0.10:2553"

我的理解是，应该可以创建自签名证书并生成所有对等方共享的信任库。

随着越来越多的 Akka 节点上线，它们应该（我假设）能够使用所有其他对等方使用的相同的自签名证书和信任存储。我还假设，即使您没有 CA，也无需信任所有具有不断增长的证书列表的对等方，因为信任存储会验证该证书，并避免中间人攻击。

理想的解决方案和希望 - 可以生成一个自签名证书，无需 CA 步骤，一个信任存储文件，并在 Akka 远程 / 的任意组合之间共享它（客户端调用远程和远程，即所有对等方）

必须有一个简单的流程来生成简单的内部加密和客户端身份验证的证书（只需信任所有对等方）

问题：这些文件能否在每个对等点上都是同一个文件，从而确保它们与受信任的客户端通信并启用加密？

key-store = "/example/path/to/mykeystore.jks"
trust-store = "/example/path/to/mytruststore.jks"

问题：上面链接的 X.509 指令是否矫枉过正 - 是否有没有 CA 步骤的简单自签名/信任存储方法？专门针对仅内部 IP 地址（无 DNS）且证书中没有不断增加的 IP 地址网络，因为服务器可以自动扩展和缩减。

Answer 1

首先，我不得不承认我不了解Akka，但是我可以给你一些关于SSL协议中X509证书的识别指南。

akka server configuration 需要绑定到主机名的 SSL 证书

您需要一台分配有 DNS 主机名的服务器，用于主机名验证。在本例中，我们假设主机名是 example.com。

SSL 证书可以绑定到 DNS 名称或 IP（不常见）。为了客户端验证正确，必须对应服务器的IP/主机名

AKKA 要求每个服务器都有一个由公共 CA 颁发的证书

CA
  - server1: server1.yourdomain.com (or IP1)
  - server2: server2.yourdomain.com  (or IP2)

为了简化服务器部署，您可以使用通配符*.yourdomain.com

CA
  - server1: *.yourdomain.com 
  - server2: *.yourdomain.com  

在客户端，您需要配置一个信任库，包括 JKS 中 CA 证书的公钥。客户端将信任此 CA 颁发的任何证书。

在您描述的架构中，我认为您不需要密钥库。当您还想用证书识别客户端时需要它。在这两种情况下都会建立 SSL 加密通道。

如果你没有yourdomain.com这样的域名，又想使用内部IP，建议为每台服务器颁发证书，并绑定IP地址。

根据 akka 验证服务器证书的方式，可以为所有服务器使用唯一的自签名证书。 Akka 可能将信任配置依赖于 JVM 默认值。如果您在信任库（而不是 CA）中包含自签名证书，则 ssl 套接字工厂将信任提供此证书的连接，即使它已过期或服务器的主机名与证书不匹配。我不推荐它