SSL/TLS配置

某些阶段允许您使用SSL/TLS安全地连接到外部系统。

启用TLS时,通常可以在阶段的“TLS”选项卡上配置属性。可用的属性可能取决于您正在配置的阶段。TLS选项卡可以包含以下属性:

  • Keystore属性
  • Truststore属性
  • TLS protocols
  • Cipher suites
注意:您还可以为Data Collector启用HTTPS,以确保与Data Collector UI和REST API的通信安全。而且,您可以为集群管道启用HTTPS,以保护集群中网关和工作节点之间的通信。有关更多信息,请参阅启用HTTPS。
您可以在以下阶段和位置启用SSL/TLS类型属性:

  • Cassandra destination
  • Couchbase Lookup processor 和 Couchbase destination
  • Databricks executor
  • gRPC Client origin
  • HTTP Client origin, processor, 和 destination
  • HTTP Server origin
  • HTTP to Kafka origin
  • Kafka Consumer origin, Kafka Multitopic Consumer origin, 和 Kafka Producer destination – 这些阶段需要配置其他Kafka属性。有关更多信息,请参阅阶段文档中的“启用安全性”。
  • MongoDB origin and destination, MongoDB Oplog origin, 和 MongoDB Lookup processor – 这些阶段需要配置SDC_JAVA_OPTS环境变量。有关更多信息,请参阅阶段文档中的“启用SSL/TLS”。
  • MQTT Subscriber origin 和 MQTT Publisher destination
  • OPC UA Client origin
  • Pulsar Consumer origin 和 Pulsar Producer destination – 这些阶段需要证书文件,而不是密钥库和信任库文件。有关更多信息,请参阅阶段文档中的“启用安全性”。
  • RabbitMQ Consumer origin 和 RabbitMQ Producer destination
  • REST Service origin
  • Salesforce origin, lookup, 和 destination, 以及 Einstein Analytics destination
  • SDC RPC origin 和 destination
  • SDC RPC to Kafka origin
  • SFTP/FTP/FTPS Client origin 和 destination
  • Splunk destination
  • Syslog destination – 此目标端需要配置SDC_JAVA_OPTS环境变量。有关更多信息,请参阅目标端文档中的“启用S​​SL/TLS ”。
  • TCP Server origin
  • UDP to Kafka origin
  • WebSocket Client origin 和 destination
  • WebSocket Server origin
  • 将错误记录写入另一个管道时的Pipeline error handling

密钥库和信任库配置

在阶段中启用SSL/TLS时,您还可以启用密钥库(keystore)和信任库(truststore)的使用。

尽管在很多方面都相似,但是密钥库包含一个私钥和公共证书,用于根据SSL/TLS服务器的请求来验证客户端的身份。相反,信任库通常包含来自受信任的证书颁发机构的证书,SSL/TLS客户端使用这些证书来验证SSL/TLS服务器的身份。

重要:在阶段中启用SSL/TLS之前,请将密钥库和信任库文件存储在Data CollectorData Collector Edge计算机上。
配置密钥库或信任库时,可以配置以下属性:

密钥库/信任库类型
您可以使用以下类型的密钥库和信任库:

  • Java Keystore File (JKS)
  • PKCS #12 (p12 file)
在Data Collector Edge管道中,密钥库和信任库文件必须使用PEM格式。
文件和位置
指定密钥库或信任库文件的文件和位置时,可以使用文件的绝对路径,也可以使用相对于Data Collector资源目录的路径 。
在Data Collector Edge管道中,使用文件的绝对路径。
密码
密钥库和信任库文件的密码是可选的,但强烈建议使用。
在Data Collector Edge管道中无效。Data Collector Edge管道中,阶段将忽略密钥库或信任库的password属性。
算法
默认情况下,Data Collector使用SunX509密钥交换算法。您可以使用与JVM支持的与密钥库/信任库文件兼容的任何算法。
在Data Collector Edge管道中无效。Data Collector Edge管道中,阶段将忽略密钥库或信任库的algorithm属性。

传输协议

在阶段中启用SSL/TLS时,可以配置要使用的传输协议。

默认情况下,Data Collector使用TLSv1.2。您可以指定一个或多个其他协议,但是TLSv1.2之前的版本不那么安全。

在Data Collector Edge管道中,阶段仅支持TLSv1.2协议。

密码套件

在阶段中启用SSL/TLS时,您可以配置密码套件以用于执行SSL/TLS握手。

默认情况下,阶段可以使用以下任何密码套件:

支持的密码套件 Java安全套接字扩展(JSSE)名称
ECDHE-ECDSA-AES256-GCM-SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDHE-ECDSA-AES128-GCM-SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-ECDSA-AES256-SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDHE-ECDSA-AES128-SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256