Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Authentification par certificat SSL pour Amazon MQ pour RabbitMQ
<a name="ssl-for-amq-for-rabbitmq"></a>

Amazon MQ pour RabbitMQ prend en charge l'authentification des utilisateurs du broker à l'aide de certificats clients X.509. Pour connaître les autres méthodes prises en charge, consultez [Authentification et autorisation pour Amazon MQ pour les courtiers RabbitMQ](rabbitmq-authentication.md).

**Note**  
Le plug-in d'authentification par certificat SSL est uniquement disponible pour Amazon MQ pour RabbitMQ version 4 et supérieure.

**Considérations importantes**  
Les certificats clients doivent être signés par une autorité de certification (CA) fiable. Amazon MQ pour RabbitMQ valide la chaîne de certificats lors de l'authentification.
Amazon MQ pour RabbitMQ impose l'utilisation de pour les paramètres liés aux certificats tels que les certificats CA et AWS ARNs pour les paramètres nécessitant un accès au système de fichiers local. Voir le [support de l'ARN dans la configuration de RabbitMQ](arn-support-rabbitmq-configuration.md) pour plus de détails.
Amazon MQ crée automatiquement un utilisateur du système nommé `monitoring-AWS-OWNED-DO-NOT-DELETE` avec des autorisations de surveillance uniquement. Cet utilisateur utilise le système d'authentification interne de RabbitMQ, même sur les courtiers dotés de certificats SSL, et est limité à l'accès à l'interface de bouclage uniquement. Amazon MQ empêche la suppression de cet utilisateur en ajoutant le tag [utilisateur protégé](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3).

Pour plus d'informations sur la configuration de l'authentification par certificat SSL pour votre Amazon MQ pour les courtiers RabbitMQ, consultez. [Utilisation de l'authentification par certificat SSL](rabbitmq-ssl-tutorial.md)

**Topics**
+ [Configurations SSL prises en charge](#ssl-supported-configs)
+ [Validations supplémentaires pour les configurations SSL dans Amazon MQ](#ssl-additional-validations)

## Configurations SSL prises en charge
<a name="ssl-supported-configs"></a>

Amazon MQ pour RabbitMQ prend en charge SSL/TLS la configuration des connexions client. Pour plus de détails sur le support de l'ARN, voir le [support de l'ARN dans la configuration de RabbitMQ](arn-support-rabbitmq-configuration.md).

### Configurations nécessitant ARNs
<a name="ssl-arn-required-configs"></a>

`ssl_options.cacertfile`  
Utiliser `aws.arns.ssl_options.cacertfile` à la place

### Configurations de connexion par certificat SSL
<a name="ssl-cert-login-configs"></a>

Les configurations suivantes contrôlent la manière dont les noms d'utilisateur sont extraits des certificats clients :

`ssl_cert_login_from`  
Spécifie le champ de certificat à utiliser pour l'extraction du nom d'utilisateur. Valeurs prises en charge :  
+ `distinguished_name`- Utilisez le nom distinctif complet
+ `common_name`- Utilisez le champ Nom commun (CN)
+ `subject_alternative_name`ou `subject_alt_name` - Utiliser le nom alternatif du sujet

`ssl_cert_login_san_type`  
Lorsque vous utilisez le nom alternatif du sujet, spécifiez le type de SAN. Valeurs prises en charge : `dns``ip`,`email`,`uri`, `other_name`

`ssl_cert_login_san_index`  
Lorsque vous utilisez le nom alternatif du sujet, spécifie l'index de l'entrée SAN à utiliser (base zéro). Doit être un entier non négatif.

### Options SSL pour les connexions client
<a name="ssl-options-configs"></a>

Les options SSL suivantes s'appliquent aux connexions client :

`ssl_options.verify`  
Mode de vérification par les pairs. Valeurs prises en charge :`verify_none`, `verify_peer`

`ssl_options.fail_if_no_peer_cert`  
S'il faut rejeter les connexions si le client ne fournit pas de certificat. Valeur booléenne.

`ssl_options.depth`  
Profondeur maximale de la chaîne de certificats pour la vérification.

`ssl_options.hostname_verification`  
Mode de vérification du nom d'hôte. Valeurs prises en charge :`wildcard`, `none`

### Options SSL non prises en charge
<a name="ssl-unsupported-options"></a>

Les options de configuration SSL suivantes ne sont pas prises en charge :

#### Voir la liste complète
<a name="ssl-options-list-content"></a>
+ `ssl_options.cert`
+ `ssl_options.client_renegotiation`
+ `ssl_options.dh`
+ `ssl_options.dhfile`
+ `ssl_options.honor_cipher_order`
+ `ssl_options.honor_ecc_order`
+ `ssl_options.key.RSAPrivateKey`
+ `ssl_options.key.DSAPrivateKey`
+ `ssl_options.key.PrivateKeyInfo`
+ `ssl_options.log_alert`
+ `ssl_options.password`
+ `ssl_options.psk_identity`
+ `ssl_options.reuse_sessions`
+ `ssl_options.secure_renegotiate`
+ `ssl_options.versions.$version`
+ `ssl_options.sni`
+ `ssl_options.crl_check`

## Validations supplémentaires pour les configurations SSL dans Amazon MQ
<a name="ssl-additional-validations"></a>

Amazon MQ applique également les validations supplémentaires suivantes pour l'authentification par certificat SSL :
+ Si un paramètre nécessite l'utilisation d'un AWS ARN, `aws.arns.assume_role_arn` il doit être fourni.