对于这种情况,我使用的是WSO2 Enterprise Integrator 6.4.0
我目前发现自己处于这样的情况:我有一个由政府控制的端点(SOAP)(我需要使用),并且我们的多个终端客户需要连接。为了实现这一点,所有最终客户都需要以相同的方式使用自己的客户端证书来寻址同一个端点。
因此,客户1有证书1,客户2需要证书2等。
据我所知,从文档和尝试来看,一个端点只能在其连接中使用单个证书。由于客户数量可能每天都在变化,因此我会找到解决此问题的单一常见解决方案。
目前为了解决这个问题,我正在创建一种设计,其中我使用每个客户的端点和反向代理来连接到最终端点。然而,这并不理想,因为我仍然需要为每个客户创建1个端点,这可能会变得非常密集。
我愿意接受任何建议。
您是对的,您无法让ESB根据尝试连接的客户端提供不同的证书。如果你真的想沿着那条路线走下去,在ESB前放置一个反向代理(比如nginx),并使用它来处理SSL可以工作,但我不会真的建议这样做。
如果您想要相互SSL(link,link),那么您需要将将连接到您的端点的客户端的证书添加到客户端信任库。默认信任库位于<wso2EI_home>/repository/resources/security/client-truststore.jks。要导入证书keytool -import -trustcacerts -file <cert-file-name> -alias <choose-a-useful-name> -keystore client-truststore.jks默认密码是wso2carbon。
执行此操作确实需要您维护证书,当客户端证书因其过期而发生更改时您需要导入新证书。在你这样做之前,他们将无法连接。
另一种选择可能是禁用相互SSL,并让任何人(您允许通过防火墙)能够连接端点。您不必维护客户端证书列表。流量仍然会被加密,您将失去对谁可以连接的严格控制。