View a markdown version of this page

RabbitMQ auf Amazon MQ: Ungültiger SSL-ARN - Amazon MQ
Diagnose und Adressierung von RABBITMQ_INVALID_ARN_SSL

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

RabbitMQ auf Amazon MQ: Ungültiger SSL-ARN

RabbitMQ auf Amazon MQ löst den Code INVALID_ARN_SSL aus, der für kritische Aktionen erforderlich ist, wenn ein oder mehrere CA-Zertifikats-Truststore für EXTERNAL ARNs auth_mechanism ungültig oder nicht zugänglich sind. Dies gilt für in aws.arns.ssl_options.cacertfile oder angegebene ARNSaws.arns.management.ssl.cacertfile, die auf das Amazon S3- oder ACM PCA-Objekt verweisen müssen, das das Zertifikat enthält.

Ein Broker in der Quarantäne RABBITMQ_INVALID_ARN_SSL kann Client-Zertifikate bei gegenseitigen TLS-Handshakes nicht authentifizieren, da kein gültiger Truststore konfiguriert ist. Wenn der externe Authentifizierungsmechanismus die einzige konfigurierte Authentifizierungsmethode ist, können Benutzer keine Verbindung zum Broker herstellen. Ungültig ARNs kann durch eine falsch formatierte ARN-Syntax, Verweise auf nicht existierende S3-Objekte, S3-Objekte, die sich in einer anderen AWS Region als der Broker befinden, oder unzureichende s3: GetObject /acm-pca: GetCertificateAuthorityCertificate -Berechtigungen in der IAM-Rolle verursacht werden.

Diagnose und Adressierung von RABBITMQ_INVALID_ARN_SSL

Um den für die Aktion RABBITMQ_INVALID_ARN_SSL erforderlichen Code zu diagnostizieren und zu adressieren, müssen Sie Amazon Logs und die Konsole verwenden. CloudWatch

Um das Problem mit dem ungültigen SSL-ARN zu lösen

  1. Navigieren Sie zu Amazon CloudWatch Logs Insights und führen Sie die folgende Abfrage für die Protokollgruppe Ihres Brokers aus/aws/amazonmq/broker/<broker-id>/general:

    
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /error.*aws_arn_config/
| limit 10000

  2. Suchen Sie nach Fehlermeldungen, die den folgenden ähneln:

    
[error] <0.209.0> aws_arn_config: {<<"could not resolve ARN 'arn:aws:acm-pca:xxxx' for configuration 'aws.arns.ssl_options.cacertfile', error: \"AWS service is unavailable\"">>,{error,"AWS service is unavailable"}}

  3. Überprüfen Sie das S3/ACM-PCA-Objekt und beheben Sie beispielsweise folgende Probleme:

    • Stellen Sie sicher, dass das Geheimnis in derselben Region wie der Broker existiert AWS

    • Stellen Sie sicher, dass ARN ARN-Syntax korrekt ist

    • Stellen Sie sicher, dass die IAM-Rolle über die Berechtigungen s3: GetObject /acm-pca: verfügt GetCertificateAuthorityCertificate

  4. Überprüfen Sie den Fix mithilfe des API-Endpunkts für die ARN-Zugriffsprüfung, bevor Sie die Broker-Konfiguration aktualisieren.

  5. Aktualisieren Sie die Broker-Konfiguration und starten Sie den Broker neu.