View a markdown version of this page

Amazon MQ for RabbitMQ の SSL 証明書認証 - Amazon MQ
サポートされている SSL 設定Amazon MQ での SSL 設定の追加検証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MQ for RabbitMQ の SSL 証明書認証

Amazon MQ for RabbitMQ は、X.509 クライアント証明書を使用したブローカーユーザーの認証をサポートしています。サポートされているその他の方法については、Amazon MQ for RabbitMQ ブローカーの認証と認可」を参照してください。

注記

SSL 証明書認証プラグインは、Amazon MQ for RabbitMQ バージョン 4 以降でのみ使用できます。

重要な考慮事項

  • クライアント証明書は、信頼できる認証機関 (CA) によって署名されている必要があります。Amazon MQ for RabbitMQ は、認証中に証明書チェーンを検証します。

  • Amazon MQ for RabbitMQ は、CA 証明書などの証明書関連の設定や、ローカルファイルシステムへのアクセスを必要とする設定に AWS ARNs の使用を強制します。詳細については、RabbitMQ 設定の ARN サポートを参照してください。

  • Amazon MQ は、モニタリングのみのアクセス許可を持つ monitoring-AWS-OWNED-DO-NOT-DELETE という名前のシステムユーザーを自動的に作成します。このユーザーは、SSL 証明書が有効なブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。Amazon MQ は、保護されたユーザータグを追加することで、このユーザーの削除を防止します。

Amazon MQ for RabbitMQ ブローカーの SSL 証明書認証を設定する方法については、「」を参照してくださいSSL 証明書認証の使用

サポートされている SSL 設定

Amazon MQ for RabbitMQ は、クライアント接続の SSL/TLS 設定をサポートしています。ARN サポートの詳細については、RabbitMQ 設定での ARN サポート」を参照してください。

ARNs を必要とする設定

ssl_options.cacertfile

代わりに aws.arns.ssl_options.cacertfile を使用

SSL 証明書のログイン設定

次の設定は、クライアント証明書からユーザー名を抽出する方法を制御します。

ssl_cert_login_from

ユーザー名抽出に使用する証明書フィールドを指定します。サポートされる値。

  • distinguished_name - 完全な識別名を使用する

  • common_name - Common Name (CN) フィールドを使用する

  • subject_alternative_name または subject_alt_name - サブジェクトの代替名を使用する

ssl_cert_login_san_type

サブジェクト代替名を使用する場合、 は SAN タイプを指定します。サポートされている値: dnsipemailuriother_name

ssl_cert_login_san_index

サブジェクト代替名を使用する場合、使用する SAN エントリのインデックスを指定します (ゼロベース)。負以外の整数である必要があります。

クライアント接続の SSL オプション

クライアント接続には、次の SSL オプションが適用されます。

ssl_options.verify

ピア検証モード。サポートされている値: verify_noneverify_peer

ssl_options.fail_if_no_peer_cert

クライアントが証明書を提供しない場合に接続を拒否するかどうか。ブール値。

ssl_options.depth

検証のための証明書チェーンの最大深度。

ssl_options.hostname_verification

ホスト名検証モード。サポートされている値: wildcardnone

サポートされていない SSL オプション

以下の SSL 設定オプションはサポートされていません。

  • ssl_options.cert

  • ssl_options.client_renegotiation

  • ssl_options.dh

  • ssl_options.dhfile

  • ssl_options.honor_cipher_order

  • ssl_options.honor_ecc_order

  • ssl_options.key.RSAPrivateKey

  • ssl_options.key.DSAPrivateKey

  • ssl_options.key.PrivateKeyInfo

  • ssl_options.log_alert

  • ssl_options.password

  • ssl_options.psk_identity

  • ssl_options.reuse_sessions

  • ssl_options.secure_renegotiate

  • ssl_options.versions.$version

  • ssl_options.sni

  • ssl_options.crl_check

Amazon MQ での SSL 設定の追加検証

Amazon MQ では、SSL 証明書認証に次の追加の検証も適用されます。

  • 設定で AWS ARN の使用が必要な場合は、 を指定aws.arns.assume_role_arnする必要があります。