翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon MQ for RabbitMQ の SSL 証明書認証
<a name="ssl-for-amq-for-rabbitmq"></a>

Amazon MQ for RabbitMQ は、X.509 クライアント証明書を使用したブローカーユーザーの認証をサポートしています。サポートされているその他の方法については、[Amazon MQ for RabbitMQ ブローカーの認証と認可](rabbitmq-authentication.md)」を参照してください。

**注記**  
SSL 証明書認証プラグインは、Amazon MQ for RabbitMQ バージョン 4 以降でのみ使用できます。

**重要な考慮事項**  
クライアント証明書は、信頼できる認証機関 (CA) によって署名されている必要があります。Amazon MQ for RabbitMQ は、認証中に証明書チェーンを検証します。
Amazon MQ for RabbitMQ は、CA 証明書などの証明書関連の設定や、ローカルファイルシステムへのアクセスを必要とする設定に AWS ARNs の使用を強制します。詳細については、[RabbitMQ 設定の ARN サポート](arn-support-rabbitmq-configuration.md)を参照してください。
Amazon MQ は、モニタリングのみのアクセス許可を持つ `monitoring-AWS-OWNED-DO-NOT-DELETE` という名前のシステムユーザーを自動的に作成します。このユーザーは、SSL 証明書が有効なブローカーでも RabbitMQ の内部認証システムを使用し、ループバックインターフェイスアクセスのみに制限されています。Amazon MQ は、[保護されたユーザータグを追加することで、このユーザー](https://github.com/rabbitmq/rabbitmq-server/blob/3751301d5a851f3f0a7d0b15583e52cb81af4e6b/release-notes/4.2.0.md#enhancements-3)の削除を防止します。

Amazon MQ for RabbitMQ ブローカーの SSL 証明書認証を設定する方法については、「」を参照してください[SSL 証明書認証の使用](rabbitmq-ssl-tutorial.md)。

**Topics**
+ [サポートされている SSL 設定](#ssl-supported-configs)
+ [Amazon MQ での SSL 設定の追加検証](#ssl-additional-validations)

## サポートされている SSL 設定
<a name="ssl-supported-configs"></a>

Amazon MQ for RabbitMQ は、クライアント接続の SSL/TLS 設定をサポートしています。ARN サポートの詳細については、[RabbitMQ 設定での ARN サポート](arn-support-rabbitmq-configuration.md)」を参照してください。

### ARNs を必要とする設定
<a name="ssl-arn-required-configs"></a>

`ssl_options.cacertfile`  
代わりに `aws.arns.ssl_options.cacertfile` を使用

### SSL 証明書のログイン設定
<a name="ssl-cert-login-configs"></a>

次の設定は、クライアント証明書からユーザー名を抽出する方法を制御します。

`ssl_cert_login_from`  
ユーザー名抽出に使用する証明書フィールドを指定します。サポートされる値。  
+ `distinguished_name` - 完全な識別名を使用する
+ `common_name` - Common Name (CN) フィールドを使用する
+ `subject_alternative_name` または `subject_alt_name` - サブジェクトの代替名を使用する

`ssl_cert_login_san_type`  
サブジェクト代替名を使用する場合、 は SAN タイプを指定します。サポートされている値: `dns`、`ip`、`email`、`uri`、 `other_name`

`ssl_cert_login_san_index`  
サブジェクト代替名を使用する場合、使用する SAN エントリのインデックスを指定します (ゼロベース）。負以外の整数である必要があります。

### クライアント接続の SSL オプション
<a name="ssl-options-configs"></a>

クライアント接続には、次の SSL オプションが適用されます。

`ssl_options.verify`  
ピア検証モード。サポートされている値: `verify_none`、 `verify_peer`

`ssl_options.fail_if_no_peer_cert`  
クライアントが証明書を提供しない場合に接続を拒否するかどうか。ブール値。

`ssl_options.depth`  
検証のための証明書チェーンの最大深度。

`ssl_options.hostname_verification`  
ホスト名検証モード。サポートされている値: `wildcard`、 `none`

### サポートされていない SSL オプション
<a name="ssl-unsupported-options"></a>

以下の SSL 設定オプションはサポートされていません。

#### 完全なリストを表示する
<a name="ssl-options-list-content"></a>
+ `ssl_options.cert`
+ `ssl_options.client_renegotiation`
+ `ssl_options.dh`
+ `ssl_options.dhfile`
+ `ssl_options.honor_cipher_order`
+ `ssl_options.honor_ecc_order`
+ `ssl_options.key.RSAPrivateKey`
+ `ssl_options.key.DSAPrivateKey`
+ `ssl_options.key.PrivateKeyInfo`
+ `ssl_options.log_alert`
+ `ssl_options.password`
+ `ssl_options.psk_identity`
+ `ssl_options.reuse_sessions`
+ `ssl_options.secure_renegotiate`
+ `ssl_options.versions.$version`
+ `ssl_options.sni`
+ `ssl_options.crl_check`

## Amazon MQ での SSL 設定の追加検証
<a name="ssl-additional-validations"></a>

Amazon MQ では、SSL 証明書認証に次の追加の検証も適用されます。
+ 設定で AWS ARN の使用が必要な場合は、 を指定`aws.arns.assume_role_arn`する必要があります。