SSL-Konfiguration des AMQP-Clients - Amazon MQ
SSL-Konfigurationsschlüssel für den AMQP-ClientWie überschreibt man die SSL-Peer-Verifizierung für den AMQP-Client

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SSL-Konfiguration des AMQP-Clients

Federation und Shovel verwenden AMQP für die Kommunikation zwischen Upstream- und Downstream-Brokern. Standardmäßig ist die TLS-Peer-Verifizierung für AMQP-Clients in Amazon MQ für RabbitMQ 4 aktiviert. Mit dieser Einstellung führen Federation- und Shovel-AMQP-Clients, die auf Amazon MQ-Brokern ausgeführt werden, eine Peer-Verifizierung durch, wenn sie Verbindungen mit dem Upstream-Broker herstellen.

AMQP-Clients, die auf Amazon MQ-Brokern laufen, unterstützen dieselben Zertifizierungsstellen wie Mozilla. Wenn Sie ACM nicht verwenden, verwenden Sie ein Zertifikat, das von einer Zertifizierungsstelle ausgestellt wurde, die in der Mozilla Included CA Certificate List aufgeführt ist. Wenn Ihr lokaler Broker Zertifikate von anderen Zertifizierungsstellen verwendet, schlägt die SSL-Überprüfung fehl. Sie können die TLS-Peer-Verifizierung für diese Anwendungsfälle deaktivieren.

Wichtig

Amazon MQ unterstützt derzeit nicht die Konfiguration von Client-Zertifikaten für AMQP-Clientverbindungen. Aus diesem Grund können Federation and Shovel keine Verbindung zu MTLS-fähigen Brokern herstellen, für die eine Client-Zertifikatsauthentifizierung erforderlich ist.

Wichtig

Auf Amazon MQ für RabbitMQ 3 sind die SSL-Eigenschaften von AMQP-Clients mit den RabbitMQ-Standardeinstellungen (verify_none) konfiguriert. Amazon MQ für RabbitMQ 3 unterstützt das Überschreiben dieser Standardeinstellungen nicht.

Anmerkung

Mit der verify_peer Standardeinstellung können Sie Federation- und Shovel-Verbindungen zwischen zwei beliebigen Amazon MQ-Brokern einrichten. Dies unterstützt jedoch nicht die Herstellung der Verbindung zwischen Amazon MQ-Brokern und privaten Brokern oder lokalen Brokern, die mit Nicht-Amazon MQ-CA-Zertifikaten betrieben werden. Um eine Verbindung zu privaten oder lokalen Brokern herzustellen, müssen Sie die Peer-Verifizierung auf dem nachgeschalteten Amazon MQ-Broker deaktivieren.

SSL-Konfigurationsschlüssel für den AMQP-Client

Konfiguration Konfigurationsschlüssel Unterstützte Werte
SSL-Peer-Überprüfung für AMQP-Clients amqp_client.ssl_options.verify verify_none, verify_peer

Wie überschreibt man die SSL-Peer-Verifizierung für den AMQP-Client

Sie können die SSL-Peer-Verifizierung von AMQP-Clients mithilfe der Amazon MQ MQ-API und der Amazon MQ MQ-Konsole auf RabbitMQ 4-Brokern außer Kraft setzen.

Das folgende Beispiel zeigt, wie Sie die SSL-Peer-Verifizierung des AMQP-Clients überschreiben können, indem Sie: AWS CLI


aws mq update-configuration --configuration-id <config-id> --data "$(echo "amqp_client.ssl_options.verify=verify_none" | base64 --wrap=0)"

Bei einem erfolgreichen Aufruf wird eine Konfigurationsrevision erstellt. Sie müssen die Konfiguration Ihrem RabbitMQ-Broker zuordnen und den Broker neu starten, um die Überschreibung anzuwenden. Weitere Einzelheiten finden Sie unter Creating and applying broker configurations

Wichtig

Bei der Verwendung verify_none ist die SSL-Verschlüsselung immer noch aktiv, aber die Identität des Peers wird nicht verifiziert. Verwenden Sie diese Einstellung nur bei Bedarf und stellen Sie sicher, dass Sie dem Netzwerkpfad zum Zielbroker vertrauen.