本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 亚马逊 MQ 上的 RabbitMQ：SSL ARN 无效
<a name="troubleshooting-action-required-codes-invalid-arn-ssl"></a>

 当外部身份验证机制的一个或多个 CA 证书信任库无效或无法访问时，亚马逊 MQ 上的 RabbitMQ 将引发 INVALID\$1ARN\$1SSL 关键操作所需的代码。 ARNs 这适用于`aws.arns.ssl_options.cacertfile`或中指定的 ARNS`aws.arns.management.ssl.cacertfile`，它必须引用包含证书的 Amazon S3 或 ACM PCA 对象。

 由于未配置有效的信任库，RABBITMQ\$1INVALID\$1ARN\$1SSL 隔离区中的代理无法在双向 TLS 握手期间对客户端证书进行身份验证。如果外部身份验证机制是唯一配置的身份验证方法，则用户将无法连接到代理。无效 ARNs 可能是由于 ARN 语法格式错误、对不存在的 S3 对象的引用、S3 对象位于与代理 AWS 不同的区域或 IAM 角色中的 s3GetObject: /acm-pca: 权限GetCertificateAuthorityCertificate 不足。

## 诊断和解决 RABBITMQ\$1INVALID\$1ARN\$1SSL
<a name="w2aac40c35b7"></a>

 要诊断和解决 RABBITMQ\$1INVALID\$1ARN\$1SSL 操作所需的代码，您必须使用亚马逊日志和控制台。 CloudWatch 

**要解决无效的 SSL ARN 问题**

1. 导航至 Amazon CloudWatch Logs Insights，然后对您的经纪人的日志组运行以下查询`/aws/amazonmq/broker/<broker-id>/general`：

   ```
   fields @timestamp, @message
   | sort @timestamp desc
   | filter @message like /error.*aws_arn_config/
   | limit 10000
   ```

1. 查找类似于以下内容的错误消息：

   ```
   [error] <0.209.0> aws_arn_config: {<<"could not resolve ARN 'arn:aws:acm-pca:xxxx' for configuration 'aws.arns.ssl_options.cacertfile', error: \"AWS service is unavailable\"">>,{error,"AWS service is unavailable"}}
   ```

1. 检查 S3/ACM-PCA 对象并修复任何问题，例如：
   + 验证密钥是否与经纪人位于同一 AWS 区域
   + 确认 ARN 语法是否正确
   + 确保 IAM 角色具有 s3: GetObject /acm-pca: 权限 GetCertificateAuthorityCertificate 

1. 在更新代理配置之前，使用 [ARN 访问验证](arn-support-rabbitmq-configuration.md#arn-support-validation) API 端点验证修复程序。

1. 更新代理配置并重启代理。