[GitHub] [rocketmq] zergduan commented on issue #4527: Some questions about TLS enable in Configuration_TLS.md

[GitBox <gi...@apache.org>]

zergduan commented on issue #4527:
URL: https://github.com/apache/rocketmq/issues/4527#issuecomment-1169613212

   @lizhiboo 感谢您的耐心解答
   关于C和D问题，我的疑惑在以下参数：
   1. tls.server.need.client.auth
   2. tls.server.authClient
   3. tls.client.authServer
   
   
   关于这3个参数，参考 https://github.com/apache/rocketmq/blob/a62b70bc25423c1d7e18043e32af427d29ef9ac4/remoting/src/main/java/org/apache/rocketmq/remoting/netty/TlsSystemConfig.java
   按照我的理解如下，如果错误请您指出：
   
   
   1. tls.server.need.client.auth 
   a. 此参数只有配置在Server端才生效
   b. 这个参数设置为require时，Server端收到Client的认证请求时，会同时向Client发送认证请求，也就是说开启了双向认证
   c. 这个参数设置为none时，相当于关闭双向认证
   
   2. tls.server.authClient #To determine whether verify the client endpoint's certificate strictly
   这个参数并不是用来判断是否开启客户端认证（上面的参数是用来判断是否开启客户端认证），这个参数用来在客户端认证开启的情况下，判断是否对客户端的做严格认证（例如验证客户端的主机名是否和客户端证书中的CN一致）
   
   3. tls.client.authServer
   这个参数并不是用来判断是否开启服务端认证（服务端认证决定于客户端是否发送SSL连接tls.enable，以及服务端是否接受TSL连接tls.server.mode），这个参数是用来在服务端认证开启的情况下，判断是否对服务端的做严格认证（例如验证服务端的主机名是否和服务端证书中的CN一致）
   
   如果我理解错误，请帮忙指正，谢谢


-- 
This is an automated message from the Apache Git Service.
To respond to the message, please log on to GitHub and use the
URL above to go to the specific comment.

To unsubscribe, e-mail: dev-unsubscribe@rocketmq.apache.org

For queries about this service, please contact Infrastructure at:
users@infra.apache.org