As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Autenticação de certificado SSL para Amazon MQ para RabbitMQ
O Amazon MQ para RabbitMQ oferece suporte à autenticação de usuários do broker usando certificados de cliente X.509. Para outros métodos compatíveis, consulte Autenticação e autorização do Amazon MQ para corretores do RabbitMQ.
nota
O plug-in de autenticação de certificado SSL está disponível somente para o Amazon MQ for RabbitMQ versão 4 e superior.
Considerações importantes
-
Os certificados do cliente devem ser assinados por uma Autoridade Certificadora (CA) confiável. O Amazon MQ para RabbitMQ valida a cadeia de certificados durante a autenticação.
-
O Amazon MQ para RabbitMQ impõe o uso de configurações relacionadas a certificados, como certificados CA, e AWS ARNs para configurações que exigem acesso ao sistema de arquivos local. Consulte Suporte de ARN na configuração do RabbitMQ para obter mais detalhes.
-
O Amazon MQ cria automaticamente um usuário do sistema chamado
monitoring-AWS-OWNED-DO-NOT-DELETEcom permissões somente de monitoramento. Esse usuário usa o sistema de autenticação interna do RabbitMQ mesmo em corretores habilitados para certificados SSL e está restrito apenas ao acesso à interface de loopback. O Amazon MQ impede a exclusão desse usuário adicionando a tag de usuário protegida.
Para obter informações sobre como configurar a autenticação de certificado SSL para seus corretores Amazon MQ para RabbitMQ, consulte. Usando a autenticação de certificado SSL
Nesta página
Configurações SSL suportadas
O Amazon MQ para RabbitMQ oferece suporte SSL/TLS à configuração de conexões de clientes. Para obter detalhes sobre o suporte ao ARN, consulte Suporte ao ARN na configuração do RabbitMQ.
Configurações que exigem ARNs
ssl_options.cacertfile-
Use
aws.arns.ssl_options.cacertfileem vez disso
Configurações de login do certificado SSL
As configurações a seguir controlam como os nomes de usuário são extraídos dos certificados do cliente:
ssl_cert_login_from-
Especifica qual campo de certificado usar para extração do nome de usuário. Valores com suporte:
distinguished_name- Use o nome distinto completocommon_name- Use o campo Nome comum (CN)subject_alternative_nameousubject_alt_name- Use o nome alternativo do assunto
ssl_cert_login_san_type-
Ao usar o Subject Alternative Name, especifica o tipo de SAN. Valores suportados:
dns,ip,email,uri,other_name ssl_cert_login_san_index-
Ao usar o Subject Alternative Name, especifica o índice da entrada SAN a ser usada (com base em zero). Deve ser um número inteiro não negativo.
Opções de SSL para conexões de clientes
As seguintes opções de SSL se aplicam às conexões do cliente:
ssl_options.verify-
Modo de verificação por pares. Valores suportados:
verify_none,verify_peer ssl_options.fail_if_no_peer_cert-
Se as conexões devem ser rejeitadas se o cliente não fornecer um certificado. Valor booleano.
ssl_options.depth-
Profundidade máxima da cadeia de certificados para verificação.
ssl_options.hostname_verification-
Modo de verificação do nome do host. Valores suportados:
wildcard,none
Opções de SSL não suportadas
As seguintes opções de configuração de SSL não são suportadas:
-
ssl_options.cert -
ssl_options.client_renegotiation -
ssl_options.dh -
ssl_options.dhfile -
ssl_options.honor_cipher_order -
ssl_options.honor_ecc_order -
ssl_options.key.RSAPrivateKey -
ssl_options.key.DSAPrivateKey -
ssl_options.key.PrivateKeyInfo -
ssl_options.log_alert -
ssl_options.password -
ssl_options.psk_identity -
ssl_options.reuse_sessions -
ssl_options.secure_renegotiate -
ssl_options.versions.$version -
ssl_options.sni -
ssl_options.crl_check
Validações adicionais para configurações de SSL no Amazon MQ
O Amazon MQ também impõe as seguintes validações adicionais para autenticação de certificados SSL:
-
Se alguma configuração exigir o uso de um AWS ARN,
aws.arns.assume_role_arndeverá ser fornecida.
