Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# RabbitMQ en Amazon MQ: ARN SSL no válido
<a name="troubleshooting-action-required-codes-invalid-arn-ssl"></a>

 RabbitMQ en Amazon MQ generará un código de acción crítica INVALID\_ARN\_SSL cuando uno o más ARN del almacén de confianza de certificados de CA para EXTERNAL auth\_mechanism no sean válidos o no estén accesibles. Esto se aplica a los ARNS especificados en `aws.arns.ssl_options.cacertfile` o`aws.arns.management.ssl.cacertfile`, que deben hacer referencia al objeto PCA de Amazon S3 o ACM que contiene el certificado. 

 Un bróker que se encuentre en cuarentena con RABBITMQ\_INVALID\_ARN\_SSL no puede autenticar los certificados de los clientes durante los intercambios mutuos de TLS porque no hay configurado un almacén de confianza válido. Si el único método de autenticación configurado es un mecanismo de autenticación externo, los usuarios no podrán conectarse al intermediario. Los ARN no válidos pueden deberse a una sintaxis de ARN mal formada, a referencias a objetos S3 inexistentes, a objetos S3 ubicados en una AWS región diferente a la del intermediario o a GetObject/acm-pca:GetCertificateAuthorityCertificate permisos s3: insuficientes en la función de IAM. 

## Diagnóstico y tratamiento de RABBITMQ\_INVALID\_ARN\_SSL
<a name="w2aac40c35b7"></a>

 Para diagnosticar y abordar el código de acción requerida por RABBITMQ\_INVALID\_ARN\_SSL, debe usar Amazon Logs y la consola. CloudWatch 

**Para resolver el problema del ARN de SSL no válido**

1. Navegue hasta Amazon CloudWatch Logs Insights y ejecute la siguiente consulta en el grupo de registros de su agente`/aws/amazonmq/broker/<broker-id>/general`:

   ```
   fields @timestamp, @message
   | sort @timestamp desc
   | filter @message like /error.*aws_arn_config/
   | limit 10000
   ```

1. Busque mensajes de error similares a los siguientes:

   ```
   [error] <0.209.0> aws_arn_config: {<<"could not resolve ARN 'arn:aws:acm-pca:xxxx' for configuration 'aws.arns.ssl_options.cacertfile', error: \"AWS service is unavailable\"">>,{error,"AWS service is unavailable"}}
   ```

1. Compruebe el S3/ACM-PCA objeto y solucione cualquier problema, como:
   + Compruebe que el secreto existe en la misma AWS región que el corredor
   + Confirme que la sintaxis del ARN es correcta
   + Asegúrese de que el rol de IAM tenga los permisos s3: GetObject/acm-pca:GetCertificateAuthorityCertificate 

1. Actualice la configuración del corredor y reinícielo.