Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# SSL-Zertifikatsauthentifizierung für Amazon MQ für RabbitMQ
<a name="ssl-for-amq-for-rabbitmq"></a>

Amazon MQ for RabbitMQ unterstützt die Authentifizierung von Broker-Benutzern mithilfe von X.509-Client-Zertifikaten. Weitere unterstützte Methoden finden Sie unter [Authentifizierung und Autorisierung für Amazon MQ für RabbitMQ-Broker](rabbitmq-authentication.md).

**Anmerkung**  
Das SSL-Zertifikat-Authentifizierungs-Plugin ist nur für Amazon MQ für RabbitMQ Version 4 und höher verfügbar.

**Wichtige Überlegungen**  
Client-Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert werden. Amazon MQ for RabbitMQ validiert die Zertifikatskette während der Authentifizierung.
Amazon MQ for RabbitMQ erzwingt die Verwendung von AWS ARNs für zertifikatsbezogene Einstellungen wie CA-Zertifikate und für Einstellungen, die Zugriff auf das lokale Dateisystem erfordern. Weitere Informationen [finden Sie unter ARN-Unterstützung in der RabbitMQ-Konfiguration](arn-support-rabbitmq-configuration.md).
Amazon MQ erstellt automatisch einen Systembenutzer `monitoring-AWS-OWNED-DO-NOT-DELETE` mit nur Überwachungsberechtigungen. Dieser Benutzer verwendet das interne Authentifizierungssystem von RabbitMQ auch bei Brokern, für die SSL-Zertifikate aktiviert sind, und ist auf den Zugriff auf die Loopback-Schnittstelle beschränkt. Amazon MQ verhindert das Löschen dieses Benutzers, indem es das [geschützte Benutzer-Tag](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3) hinzufügt.

Informationen zur Konfiguration der SSL-Zertifikatsauthentifizierung für Ihre Amazon MQ for RabbitMQ Broker finden Sie unter. [Verwendung der SSL-Zertifikatsauthentifizierung](rabbitmq-ssl-tutorial.md)

**Topics**
+ [Unterstützte SSL-Konfigurationen](#ssl-supported-configs)
+ [Zusätzliche Validierungen für SSL-Konfigurationen in Amazon MQ](#ssl-additional-validations)

## Unterstützte SSL-Konfigurationen
<a name="ssl-supported-configs"></a>

Amazon MQ für RabbitMQ unterstützt die SSL/TLS Konfiguration von Client-Verbindungen. Einzelheiten zur ARN-Unterstützung finden Sie unter [ARN-Unterstützung in der RabbitMQ-Konfiguration](arn-support-rabbitmq-configuration.md).

### Konfigurationen, die Folgendes erfordern ARNs
<a name="ssl-arn-required-configs"></a>

`ssl_options.cacertfile`  
Stattdessen `aws.arns.ssl_options.cacertfile` verwenden

### Anmeldekonfigurationen für SSL-Zertifikate
<a name="ssl-cert-login-configs"></a>

Die folgenden Konfigurationen steuern, wie Benutzernamen aus Client-Zertifikaten extrahiert werden:

`ssl_cert_login_from`  
Gibt an, welches Zertifikatsfeld für die Benutzernamenextraktion verwendet werden soll. Unterstützte Werte:  
+ `distinguished_name`- Verwenden Sie den vollständigen Distinguished Name
+ `common_name`- Verwenden Sie das Feld Common Name (CN)
+ `subject_alternative_name`oder `subject_alt_name` — Verwenden Sie den alternativen Namen des Betreffs

`ssl_cert_login_san_type`  
Gibt bei Verwendung des alternativen Antragstellers den SAN-Typ an. Unterstützte Werte: `dns``ip`,`email`,`uri`, `other_name`

`ssl_cert_login_san_index`  
Gibt bei Verwendung von Subject Alternative Name den Index des zu verwendenden SAN-Eintrags an (auf Null basierend). Muss eine nicht negative Ganzzahl sein.

### SSL-Optionen für Client-Verbindungen
<a name="ssl-options-configs"></a>

Die folgenden SSL-Optionen gelten für Client-Verbindungen:

`ssl_options.verify`  
Modus „Peer-Verifizierung“. Unterstützte Werte:`verify_none`, `verify_peer`

`ssl_options.fail_if_no_peer_cert`  
Ob Verbindungen abgelehnt werden sollen, wenn der Client kein Zertifikat bereitstellt. Boolescher Wert:

`ssl_options.depth`  
Maximale Tiefe der Zertifikatskette für die Überprüfung.

`ssl_options.hostname_verification`  
Modus zur Überprüfung des Hostnamens. Unterstützte Werte:`wildcard`, `none`

### Nicht unterstützte SSL-Optionen
<a name="ssl-unsupported-options"></a>

Die folgenden SSL-Konfigurationsoptionen werden nicht unterstützt:

#### Vollständige Liste anzeigen
<a name="ssl-options-list-content"></a>
+ `ssl_options.cert`
+ `ssl_options.client_renegotiation`
+ `ssl_options.dh`
+ `ssl_options.dhfile`
+ `ssl_options.honor_cipher_order`
+ `ssl_options.honor_ecc_order`
+ `ssl_options.key.RSAPrivateKey`
+ `ssl_options.key.DSAPrivateKey`
+ `ssl_options.key.PrivateKeyInfo`
+ `ssl_options.log_alert`
+ `ssl_options.password`
+ `ssl_options.psk_identity`
+ `ssl_options.reuse_sessions`
+ `ssl_options.secure_renegotiate`
+ `ssl_options.versions.$version`
+ `ssl_options.sni`
+ `ssl_options.crl_check`

## Zusätzliche Validierungen für SSL-Konfigurationen in Amazon MQ
<a name="ssl-additional-validations"></a>

Amazon MQ erzwingt außerdem die folgenden zusätzlichen Validierungen für die SSL-Zertifikatsauthentifizierung:
+ Falls eine Einstellung die Verwendung eines AWS ARN erfordert, `aws.arns.assume_role_arn` muss dieser angegeben werden.