本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AMQP 客户端 SSL 配置
<a name="rabbitmq-amqp-client-ssl-configuration"></a>

 Federation 和 shovel 使用 AMQP 在上游和下游代理之间进行通信。默认情况下，在 Amazon MQ for RabbitMQ 中为 AMQP 客户端启用 *TLS 对等验证* 4。使用此设置，在与上游代理建立连接时，在 Amazon MQ 代理上运行的联合和铲子 AMQP 客户端将执行同行验证。

 在亚马逊 MQ 代理上运行的 AMQP 客户端支持与 Mozilla 相同的证书颁发机构。如果您不使用 [ACM](https://www.amazontrust.com/repository)，请使用 M [ozilla 包含的 CA 证书列表中由 CA 颁发的证书](https://wiki.mozilla.org/CA/Included_Certificates)。如果您的本地代理使用其他证书颁发机构的证书，SSL 验证将失败。您可以针对这些用例禁用 *TLS 对等验证*。

**重要**  
Amazon MQ 目前不支持为 AMQP 客户端连接配置客户端证书。因此，联合和 shovel 无法连接到需要客户端证书身份验证的启用 MTLS 的代理。

**重要**  
 *在亚马逊 MQ for RabbitMQ 上，AMQP 客户端的 SSL 属性配置了 RabbitMQ 默认值（verify\$1none）。*适用于 RabbitMQ 3 的亚马逊 MQ 不支持覆盖这些默认值。

**注意**  
使用默认`verify_peer`设置，您可以在任意 2 个 Amazon MQ 经纪人之间建立联盟和切断连接，但这不支持在 Amazon MQ 经纪人与使用非 Amazon MQ CA 证书运行的私人经纪人或本地经纪人之间建立连接。要连接私有代理或本地代理，您需要在下游 Amazon MQ 代理上禁用对等验证。

## AMQP 客户端 SSL 配置密钥
<a name="amqp-client-ssl-configuration-keys"></a>


| 配置 | 配置密钥 | 支持的值 | 
| --- | --- | --- | 
| AMQP 客户端 SSL 对等验证 | amqp\$1client.ssl\$1options.verify | verify\$1none, verify\$1peer | 

## 如何覆盖 AMQP 客户端 SSL 对等验证
<a name="override-amqp-client-ssl-peer-verification"></a>

您可以在 RabbitMQ 4 代理上使用亚马逊 MQ API 和亚马逊 MQ 控制台覆盖 AMQP 客户端 SSL 对等验证。

以下示例说明如何使用以下方法覆盖 AMQP 客户端 SSL 对等验证： AWS CLI

```
aws mq update-configuration --configuration-id <config-id> --data "$(echo "amqp_client.ssl_options.verify=verify_none" | base64 --wrap=0)"
```

成功调用会创建配置修订版。您必须将配置与您的 RabbitMQ 代理关联并重新启动代理才能应用覆盖。欲了解更多详情，请参阅 [Creating and applying broker configurations](rabbitmq-creating-applying-configurations.md) 

**重要**  
使用时`verify_none`，SSL 加密仍处于活动状态，但未验证对等体的身份。仅在必要时才使用此设置，并确保您信任目标代理的网络路径。