本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon MQ for RabbitMQ 的 SSL 憑證身分驗證
<a name="ssl-for-amq-for-rabbitmq"></a>

Amazon MQ for RabbitMQ 支援使用 X.509 用戶端憑證對代理程式使用者進行身分驗證。如需其他支援的方法，請參閱 [Amazon MQ for RabbitMQ 代理程式的身分驗證和授權](rabbitmq-authentication.md)。

**注意**  
SSL 憑證身分驗證外掛程式僅適用於 Amazon MQ for RabbitMQ 第 4 版及更高版本。

**重要考量**  
用戶端憑證必須由信任的憑證授權機構 (CA) 簽署。Amazon MQ for RabbitMQ 會在身分驗證期間驗證憑證鏈。
Amazon MQ for RabbitMQ 會強制將 AWS ARNs用於憑證相關設定，例如 CA 憑證和需要存取本機檔案系統的設定。如需詳細資訊，請參閱 [ RabbitMQ 組態中的 ARN 支援](arn-support-rabbitmq-configuration.md)。
Amazon MQ 會自動建立名為 的系統使用者，`monitoring-AWS-OWNED-DO-NOT-DELETE`並具有僅監控許可。即使已啟用 SSL 憑證的代理程式，此使用者也會使用 RabbitMQ 的內部身分驗證系統，且僅限於循環介面存取。Amazon MQ 會新增[受保護的使用者標籤，以防止刪除此使用者](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3)。

如需有關如何為 Amazon MQ for RabbitMQ 代理程式設定 SSL 憑證身分驗證的資訊，請參閱 [使用 SSL 憑證身分驗證](rabbitmq-ssl-tutorial.md)。

**Topics**
+ [支援的 SSL 組態](#ssl-supported-configs)
+ [Amazon MQ 中 SSL 組態的其他驗證](#ssl-additional-validations)

## 支援的 SSL 組態
<a name="ssl-supported-configs"></a>

Amazon MQ for RabbitMQ 支援用戶端連線的 SSL/TLS 組態。如需 ARN 支援的詳細資訊，請參閱 [ RabbitMQ 組態中的 ARN 支援](arn-support-rabbitmq-configuration.md)。

### 需要 ARNs組態
<a name="ssl-arn-required-configs"></a>

`ssl_options.cacertfile`  
改用 `aws.arns.ssl_options.cacertfile`

### SSL 憑證登入組態
<a name="ssl-cert-login-configs"></a>

下列組態控制如何從用戶端憑證擷取使用者名稱：

`ssl_cert_login_from`  
指定要用於擷取使用者名稱的憑證欄位。支援的值為：  
+ `distinguished_name` - 使用完整的辨別名稱
+ `common_name` - 使用通用名稱 (CN) 欄位
+ `subject_alternative_name` 或 `subject_alt_name` - 使用主體別名

`ssl_cert_login_san_type`  
使用主體別名時，請指定 SAN 類型。支援的值：`dns`、`ip`、`email`、`uri`、 `other_name`

`ssl_cert_login_san_index`  
使用主體別名時， 會指定要使用的 SAN 項目索引 （以零為基礎）。必須是非負整數。

### 用戶端連線的 SSL 選項
<a name="ssl-options-configs"></a>

下列 SSL 選項適用於用戶端連線：

`ssl_options.verify`  
對等驗證模式。支援的值：`verify_none`、 `verify_peer`

`ssl_options.fail_if_no_peer_cert`  
如果用戶端不提供憑證，是否拒絕連線。布林值。

`ssl_options.depth`  
用於驗證的憑證鏈深度上限。

`ssl_options.hostname_verification`  
主機名稱驗證模式。支援的值：`wildcard`、 `none`

### 不支援的 SSL 選項
<a name="ssl-unsupported-options"></a>

不支援下列 SSL 組態選項：

#### 檢視完整清單
<a name="ssl-options-list-content"></a>
+ `ssl_options.cert`
+ `ssl_options.client_renegotiation`
+ `ssl_options.dh`
+ `ssl_options.dhfile`
+ `ssl_options.honor_cipher_order`
+ `ssl_options.honor_ecc_order`
+ `ssl_options.key.RSAPrivateKey`
+ `ssl_options.key.DSAPrivateKey`
+ `ssl_options.key.PrivateKeyInfo`
+ `ssl_options.log_alert`
+ `ssl_options.password`
+ `ssl_options.psk_identity`
+ `ssl_options.reuse_sessions`
+ `ssl_options.secure_renegotiate`
+ `ssl_options.versions.$version`
+ `ssl_options.sni`
+ `ssl_options.crl_check`

## Amazon MQ 中 SSL 組態的其他驗證
<a name="ssl-additional-validations"></a>

Amazon MQ 也會針對 SSL 憑證身分驗證強制執行下列額外驗證：
+ 如果有任何設定需要使用 AWS ARN，`aws.arns.assume_role_arn`則必須提供 。