TLS连接

1. 查看mkcert生成的ca根证书的位置：

$ mkcert --CAROOT

2. 将ca的根证书添加到系统的可信任列表里面

$ mkcert --install

3. 使用mkcert的默认ca来签发如下域名的证书

$ mkcert devincloud.cn "*.devincloud.cn"  localhost  127.0.0.1  192.168.2.168

Created a new local CA
Note: the local CA is not installed in the system trust store.
Run "mkcert -install" for certificates to be trusted automatically

Created a new certificate valid for the following names
 - "devincloud.cn"
 - "*.devincloud.cn"
 - "localhost"
 - "127.0.0.1"
 - "192.168.2.168"

Reminder: X.509 wildcards only go one level deep, so this won't match a.b.devincloud.cn

The certificate is at "./devincloud.cn+4.pem" and the key at "./devincloud.cn+4-key.pem"

4. nats-server启动时开启tls连接功能：

$ nats-server --tls --tlskey ./devincloud.cn+4-key.pem  --tlscert ./devincloud.cn+4.pem

5. 客户端如何连接nats服务端

$ nats pub hello world --tlsca ./rootCA.pem

使用--tlsca参数来指定ca根证书的位置，或者将ca根证书添加到系统的可信任列表里面

私钥文件的文件头会包含-----BEGIN RSA PRIVATE KEY-----， 证书文件的文件头会包含-----BEGIN CERTIFICATE-----，此处的rootCA.pem是证书文件

token认证

服务端添加如下配置：

authorization {
    token: "mytoken"
}

客户端连接时如何带上这个token：

$ nats -s "nats://mytoken@localhost:4222" pub hello world

用户名密码认证

服务端添加如下配置：

authorization {
    user: cjzhao
    password: mypassword
}

客户端连接时如何带上用户名和密码：

$ nats pub hello world --user cjzhao --password mypassword

nats如何对明文密码进行加密

$ nats server passwd

之后将加过密的密码，放到nats-server的启动配置文件中。

上一篇 « 下一篇 »