本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon MQ for RabbitMQ 的 SSL 憑證身分驗證
Amazon MQ for RabbitMQ 支援使用 X.509 用戶端憑證對代理程式使用者進行身分驗證。如需其他支援的方法,請參閱 Amazon MQ for RabbitMQ 代理程式的身分驗證和授權。
注意
SSL 憑證身分驗證外掛程式僅適用於 Amazon MQ for RabbitMQ 第 4 版及更高版本。
重要考量
-
用戶端憑證必須由信任的憑證授權機構 (CA) 簽署。Amazon MQ for RabbitMQ 會在身分驗證期間驗證憑證鏈。
-
Amazon MQ for RabbitMQ 會強制將 AWS ARNs用於憑證相關設定,例如 CA 憑證和需要存取本機檔案系統的設定。如需詳細資訊,請參閱 RabbitMQ 組態中的 ARN 支援。
-
Amazon MQ 會自動建立名為 的系統使用者,
monitoring-AWS-OWNED-DO-NOT-DELETE並具有僅監控許可。即使已啟用 SSL 憑證的代理程式,此使用者也會使用 RabbitMQ 的內部身分驗證系統,且僅限於循環介面存取。Amazon MQ 會新增受保護的使用者標籤,以防止刪除此使用者。
如需有關如何為 Amazon MQ for RabbitMQ 代理程式設定 SSL 憑證身分驗證的資訊,請參閱 使用 SSL 憑證身分驗證。
支援的 SSL 組態
Amazon MQ for RabbitMQ 支援用戶端連線的 SSL/TLS 組態。如需 ARN 支援的詳細資訊,請參閱 RabbitMQ 組態中的 ARN 支援。
需要 ARNs組態
ssl_options.cacertfile-
改用
aws.arns.ssl_options.cacertfile
SSL 憑證登入組態
下列組態控制如何從用戶端憑證擷取使用者名稱:
ssl_cert_login_from-
指定要用於擷取使用者名稱的憑證欄位。支援的值為:
distinguished_name- 使用完整的辨別名稱common_name- 使用通用名稱 (CN) 欄位subject_alternative_name或subject_alt_name- 使用主體別名
ssl_cert_login_san_type-
使用主體別名時,請指定 SAN 類型。支援的值:
dns、ip、email、uri、other_name ssl_cert_login_san_index-
使用主體別名時, 會指定要使用的 SAN 項目索引 (以零為基礎)。必須是非負整數。
用戶端連線的 SSL 選項
下列 SSL 選項適用於用戶端連線:
ssl_options.verify-
對等驗證模式。支援的值:
verify_none、verify_peer ssl_options.fail_if_no_peer_cert-
如果用戶端不提供憑證,是否拒絕連線。布林值。
ssl_options.depth-
用於驗證的憑證鏈深度上限。
ssl_options.hostname_verification-
主機名稱驗證模式。支援的值:
wildcard、none
不支援的 SSL 選項
不支援下列 SSL 組態選項:
-
ssl_options.cert -
ssl_options.client_renegotiation -
ssl_options.dh -
ssl_options.dhfile -
ssl_options.honor_cipher_order -
ssl_options.honor_ecc_order -
ssl_options.key.RSAPrivateKey -
ssl_options.key.DSAPrivateKey -
ssl_options.key.PrivateKeyInfo -
ssl_options.log_alert -
ssl_options.password -
ssl_options.psk_identity -
ssl_options.reuse_sessions -
ssl_options.secure_renegotiate -
ssl_options.versions.$version -
ssl_options.sni -
ssl_options.crl_check
Amazon MQ 中 SSL 組態的其他驗證
Amazon MQ 也會針對 SSL 憑證身分驗證強制執行下列額外驗證:
-
如果有任何設定需要使用 AWS ARN,
aws.arns.assume_role_arn則必須提供 。
