配置 mTLS - Amazon MQ
AMQP 终端节点RabbitMQ 管理插件RabbitMQ 2.0 插件 OAuthRabbitMQ HTTP 身份验证插件RabbitMQ LDAP 插件AMQP 客户端连接

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 mTLS

适用于 RabbitMQ 的 Amazon MQ 支持双向 TLS (mTLS),以实现与各种终端节点和外部服务的安全连接。mTLS 要求客户端和服务器都使用证书进行身份验证,从而提高安全性。

注意

只有适用于 RabbitMQ 版本 4 及更高版本的 Amazon MQ 才能使用私有证书颁发机构。

重要

适用于 RabbitMQ 的 Amazon MQ 强制使用证书和私钥文件 AWS ARNs 。有关更多详细信息,请参阅 RabbitMQ 配置中的 ARN 支持

AMQP 终端节点

为与 AMQP 端点的客户端连接配置 mTLS。这与 SSL 证书身份验证一起使用。有关支持的配置,请参阅SSL 证书身份验证

RabbitMQ 管理插件

配置 mTLS 以连接到 RabbitMQ 管理接口。

注意

管理 API 不支持严格的 mTLS。

支持的配置
aws.arns.management.ssl.cacertfile

证书颁发机构文件,用于验证连接到管理接口的客户端证书。

management.ssl.verify

对等验证模式。支持的值:verify_noneverify_peer

management.ssl.depth

用于验证的最大证书链深度。

management.ssl.hostname_verification

主机名验证模式。支持的值:wildcardnone

不支持的 SSL 选项

不支持以下 SSL 配置值:

  • management.ssl.cert

  • management.ssl.client_renegotiation

  • management.ssl.dh

  • management.ssl.dhfile

  • management.ssl.fail_if_no_peer_cert

  • management.ssl.honor_cipher_order

  • management.ssl.honor_ecc_order

  • management.ssl.key.RSAPrivateKey

  • management.ssl.key.DSAPrivateKey

  • management.ssl.key.PrivateKeyInfo

  • management.ssl.log_alert

  • management.ssl.password

  • management.ssl.psk_identity

  • management.ssl.reuse_sessions

  • management.ssl.secure_renegotiate

  • management.ssl.versions.$version

  • management.ssl.sni

RabbitMQ 2.0 插件 OAuth

为从 Amazon MQ 到 2.0 身份提供商的连接配置 mTLS。 OAuth 有关支持的配置,请参阅OAuth 2.0 身份验证和授权

RabbitMQ HTTP 身份验证插件

为从 Amazon MQ 到 HTTP 身份验证服务器的连接配置 mTLS。有关支持的配置,请参阅HTTP 身份验证和授权

RabbitMQ LDAP 插件

为从亚马逊 MQ 到 LDAP 服务器的连接配置 mTLS。有关支持的配置,请参阅LDAP 身份验证和授权

AMQP 客户端连接

为联合和 shovel 使用的 AMQP 客户端连接配置 TLS 对等验证。有关更多信息,请参阅 AMQP 客户端 SSL 配置

重要

Amazon MQ 目前不支持为 AMQP 客户端连接配置客户端证书。因此,federation 和 shovel 无法连接到需要客户端证书身份验证的启用 MTLS 的代理。