View a markdown version of this page

Otentikasi sertifikat SSL untuk Amazon MQ untuk RabbitMQ - Amazon MQ
Konfigurasi SSL yang didukungValidasi tambahan untuk konfigurasi SSL di Amazon MQ

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi sertifikat SSL untuk Amazon MQ untuk RabbitMQ

Amazon MQ untuk RabbitMQ mendukung otentikasi pengguna broker menggunakan sertifikat klien X.509. Untuk metode lain yang didukung, lihat Otentikasi dan otorisasi untuk Amazon MQ untuk broker RabbitMQ.

catatan

Plugin otentikasi sertifikat SSL hanya tersedia untuk Amazon MQ untuk RabbitMQ versi 4 ke atas.

Pertimbangan penting

  • Sertifikat klien harus ditandatangani oleh Otoritas Sertifikat (CA) tepercaya. Amazon MQ untuk RabbitMQ memvalidasi rantai sertifikat selama otentikasi.

  • Amazon MQ untuk RabbitMQ memberlakukan penggunaan AWS ARNs untuk pengaturan terkait sertifikat seperti sertifikat CA dan untuk pengaturan yang memerlukan akses ke sistem file lokal. Lihat dukungan ARN dalam konfigurasi RabbitMQ untuk detail selengkapnya.

  • Amazon MQ secara otomatis membuat pengguna sistem bernama monitoring-AWS-OWNED-DO-NOT-DELETE dengan izin pemantauan saja. Pengguna ini menggunakan sistem otentikasi internal RabbitMQ bahkan pada broker yang mendukung sertifikat SSL dan dibatasi hanya untuk akses antarmuka loopback. Amazon MQ mencegah penghapusan pengguna ini dengan menambahkan tag pengguna yang dilindungi.

Untuk informasi tentang cara mengonfigurasi otentikasi sertifikat SSL untuk Amazon MQ Anda untuk broker RabbitMQ, lihat. Menggunakan otentikasi sertifikat SSL

Konfigurasi SSL yang didukung

Amazon MQ untuk RabbitMQ mendukung SSL/TLS konfigurasi untuk koneksi klien. Untuk detail tentang dukungan ARN, lihat dukungan ARN dalam konfigurasi RabbitMQ.

Konfigurasi yang membutuhkan ARNs

ssl_options.cacertfile

Gunakan aws.arns.ssl_options.cacertfile sebagai gantinya

Konfigurasi login sertifikat SSL

Konfigurasi berikut mengontrol cara nama pengguna diekstraksi dari sertifikat klien:

ssl_cert_login_from

Menentukan bidang sertifikat yang akan digunakan untuk ekstraksi nama pengguna. Nilai yang didukung:

  • distinguished_name- Gunakan Nama Distinguished lengkap

  • common_name- Gunakan bidang Nama Umum (CN)

  • subject_alternative_nameatau subject_alt_name - Gunakan Nama Alternatif Subjek

ssl_cert_login_san_type

Saat menggunakan Nama Alternatif Subjek, menentukan jenis SAN. Nilai yang didukung:dns,ip,email,uri, other_name

ssl_cert_login_san_index

Saat menggunakan Nama Alternatif Subjek, menentukan indeks entri SAN yang akan digunakan (berbasis nol). Harus berupa bilangan bulat non-negatif.

Opsi SSL untuk koneksi klien

Opsi SSL berikut berlaku untuk koneksi klien:

ssl_options.verify

Mode verifikasi rekan. Nilai yang didukung:verify_none, verify_peer

ssl_options.fail_if_no_peer_cert

Apakah akan menolak koneksi jika klien tidak memberikan sertifikat. Nilai Boolean.

ssl_options.depth

Kedalaman rantai sertifikat maksimum untuk verifikasi.

ssl_options.hostname_verification

Mode verifikasi nama host. Nilai yang didukung:wildcard, none

Opsi SSL yang tidak didukung

Opsi konfigurasi SSL berikut tidak didukung:

  • ssl_options.cert

  • ssl_options.client_renegotiation

  • ssl_options.dh

  • ssl_options.dhfile

  • ssl_options.honor_cipher_order

  • ssl_options.honor_ecc_order

  • ssl_options.key.RSAPrivateKey

  • ssl_options.key.DSAPrivateKey

  • ssl_options.key.PrivateKeyInfo

  • ssl_options.log_alert

  • ssl_options.password

  • ssl_options.psk_identity

  • ssl_options.reuse_sessions

  • ssl_options.secure_renegotiate

  • ssl_options.versions.$version

  • ssl_options.sni

  • ssl_options.crl_check

Validasi tambahan untuk konfigurasi SSL di Amazon MQ

Amazon MQ juga memberlakukan validasi tambahan berikut untuk otentikasi sertifikat SSL:

  • Jika pengaturan apapun memerlukan penggunaan AWS ARN, aws.arns.assume_role_arn harus disediakan.