针对模式中不同级别安全性的 DomainZipFile 文件的用例。
可以在 Basic Runtime、Basic Runtime Sample 和 Advanced Runtime 模式中使用 DomainZipFile.zip 文件。
无需使用 SSL 将模式脚本程序包连接到 DataPower® 设备。如果不使用 SSL,那么无需创建 DomainZipFile.zip 文件,除非您需要 cli 脚本来定制由模式创建的 DataPower 域。
在本案例中,如果不使用服务器认证作为最低限制,那么将不会对数据进行加密。由于在通过 http 连接对客户机进行脚本编制期间会将用户和密码信息传递至 DataPower,并且通过 DomainZipFile.zip 文件中的证书对其进行保护,因此这是一个安全风险。
如果 DataPower 主机未配置为验证客户机证书,那么无需在脚本客户机和 DataPower 设备之间使用相互认证。建议您至少使用服务器认证。
本主题中的案例场景描述不同级别的安全性。
该产品支持以下案例场景:
- 案例 1:无需任何 SSL
- 案例 2:无需任何 SSL,但需要 cli 脚本来定制域
- 案例 3:需要通过脚本客户机对 DataPower 证书进行服务器认证
- 案例 4:需要对 DataPower 设备进行相互认证
案例 1:无需任何 SSL
出于概述的安全性原因,建议仅将该选项用于开发场景。如果不希望使用任何 SSL:
请将 SCP_host 的参数设置为“Unset”。如果正在使用 Basic Runtime 或 Advanced Runtime 模式,那么 SCP_host 位于 SOA Policy Gateway 2.0.0.0 - Security 程序包脚本中。如果正在使用 Basic Runtime Sample 模式,那么 SCP_host 位于 SOA
Policy Gateway 2.0.0.0 脚本中。这会在模式中设置脚本,因此不会使用 SCP 检索 DomainZipFile.zip 文件。
在来自步骤 1 的相同脚本程序包中,将以下参数设置为“Unset”:
- CLIENT_PUBLIC_KEY_file
- CLIENT_PUBLIC_KEY_password
- 确认密码
- CLIENT_PRIVATE_KEY_file
- CLIENT_PRIVATE_KEY_password
- 确认密码
案例 2:无需任何 SSL,但需要 cli 脚本来定制域
出于概述的安全性原因,建议仅将该选项用于开发场景。如果不想使用 SSL 但需要 cli 脚本:
请将 SCP_host 的参数设置为“Unset”。如果正在使用 Basic Runtime 或 Advanced Runtime 模式,那么 SCP_host 位于 SOA Policy Gateway 2.0.0.0 - Security 程序包脚本中。如果正在使用 Basic Runtime Sample 模式,那么 SCP_host 位于 SOA
Policy Gateway 2.0.0.0 脚本中。这会在模式中设置脚本,因此不会使用 SCP 检索 DomainZipFile.zip 文件。
在来自步骤 1 的相同脚本程序包中,将以下参数设置为
Unset:
- CLIENT_PUBLIC_KEY_file
- CLIENT_PUBLIC_KEY_password
- 确认密码
- CLIENT_PRIVATE_KEY_file
- CLIENT_PRIVATE_KEY_password
- 确认密码
注: 如果 SCP_host 为“Unset”,那么无需 DomainZipFile.zip 文件,除非您具有希望在 Basic Runtime 和 Advanced Runtime 模式中运行的 cli 脚本。
将要使用的 cli 脚本文件放置在 DomainZipFile.zip 文件的根目录中。
DomainZipFile.zip 文件的示例结构如下所示:
/cli.cli
将在 DataPower Domain 脚本程序包的末尾运行该文件。cli.cli 是一个示例文件名。
文件名不能包含任何空格。
案例 3:需要通过脚本客户机对 DataPower 证书进行服务器认证
您必须提供保护 XML 管理接口的 DataPower 证书链的所有证书。要找到这些证书,请完成以下步骤:
检查 XML 管理接口的 SSL 代理概要文件,并找到加密概要文件。加密概要文件将包含身份凭证,而这些身份凭证包含用于保护 XML 管理接口的证书。
将这些证书添加到 DomainZipFile.zip 文件。
格式如下:
- dataPowerHostName/certificateChainMember1.crt
- dataPowerHostName/certificateChainMember2.pem
- dataPowerHostName/certificateChainMember(n).crt
如果正在使用多域场景,那么文件可具有两个不同的
dataPowerHostName 目录,具有针对每个 DataPower 证书链的以下文件:
- clientCertificate.crt clientKeyFile.key
- dataPowerHostName/certificateChainMember1.crt
- dataPowerHostName/certificateChainMember2.pem
- dataPowerHostName/certificateChainMember(n).crt
- dataPowerHostName2/certificateChainMember1a.crt
- dataPowerHostName2/certificateChainMember2a.pem
- dataPowerHostName2/certificateChainMember2(n).crt
注: DataPower 证书链文件必须具有类型 .crt 或 .pem,并且必须仅包含证书本身。此处使用的 .crt 或 .pem 文件名为示例。文件名不能包含任何空格。
可选:如果仅针对 Basic Runtime 和 Advanced Runtime 模式所使用的 SOA Policy Gateway 2.0.0.0 - Security 程序包脚本或 Basic Runtime Sample 模式中的 SOA Policy Gateway 2.0.0.0 - Sample 脚本需要服务器认证,请对这些脚本中的以下参数使用“Unset”作为值:
- CLIENT_PUBLIC_KEY_file
- CLIENT_PUBLIC_KEY_password
- 确认密码
- CLIENT_PRIVATE_KEY_file
- CLIENT_PRIVATE_KEY_password
- 确认密码
可选:如果需要 cli 脚本:
将要使用的 cli 脚本文件放置在 DomainZipFile.zip 文件的根目录中。
DomainZipFile.zip 文件的示例结构如下所示:
/cli.cli
将在 DataPower Domain 脚本程序包的末尾运行该文件。cli.cli 是一个示例文件名。
文件名不能包含任何空格。
案例 4:需要对 DataPower 设备进行相互认证
在本案例中,客户机和 DataPower 服务器需要验证另一方的证书。只有当在 XML 管理接口的 SSL 代理概要文件中配置了 DataPower 主机来验证客户机的证书时,才需要此项。
将这些证书添加到 DomainZipFile.zip 文件。
格式如下:
- clientCertificate.crt
- clientKeyFile.key
- dataPowerHostName/certificateChainMember1.crt
- dataPowerHostName/certificateChainMember2.pem
- dataPowerHostName/certificateChainMember(n).crt
- dataPowerHostName2/certificateChainMember1a.crt
- dataPowerHostName2/certificateChainMember2a.pem
- dataPowerHostName2/certificateChainMember2(n).crt
注: DataPower 证书链文件必须具有类型 .crt 或 .pem,并且必须仅包含证书本身。此处使用的 .crt 或 .pem 文件名为示例。文件名不能包含任何空格。
客户机证书和客户机密钥文件可以包含该证书或密钥文件中显示以下内容的行之前的数据:-----BEGIN
CERTIFICATE-----。
可选:如果针对 Basic Runtime 和 Advanced Runtime 模式所使用的 SOA Policy Gateway 2.0.0.0 - Security 程序包脚本或 Basic Runtime Sample 模式中的 SOA Policy Gateway 2.0.0.0 - Sample 脚本需要服务器认证,请对这些脚本中的以下参数使用“Unset”作为值:
- CLIENT_PUBLIC_KEY_file
- CLIENT_PRIVATE_KEY_file
- CLIENT_PRIVATE_KEY_password
- 确认密码
如果公用密钥文件没有任何密码,那么以下项的值可以为“Unset”:
- CLIENT_PUBLIC_KEY_password
- 确认密码
脚本程序包所使用的 curl 命令假设文件类型为 .pem,因此缺省情况下,会将 --key-type 和 --cert-type 设置为 PEM。证书和密钥文件可以包含特定证书或密钥文件中 -----BEGIN CERTIFICATE----- 之前的内容。
可选:如果需要 cli 脚本,使用 Basic Runtime 或 Advanced Runtime 模式:
将要使用的 cli 脚本文件放置在 DomainZipFile.zip 文件的根目录中。
DomainZipFile.zip 文件的示例结构如下所示:
/cli.cli
将在 DataPower Domain 脚本程序包的末尾运行该文件。cli.cli 是一个示例文件名。
文件名不能包含任何空格。
通过选择案例,您已配置适当级别的安全性(使用或不使用 DomainZipFile.zip 文件)。