SSL-Zertifikatsauthentifizierung für Amazon MQ für RabbitMQ - Amazon MQ
Unterstützte SSL-KonfigurationenZusätzliche Validierungen für SSL-Konfigurationen in Amazon MQ

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SSL-Zertifikatsauthentifizierung für Amazon MQ für RabbitMQ

Amazon MQ for RabbitMQ unterstützt die Authentifizierung von Broker-Benutzern mithilfe von X.509-Client-Zertifikaten. Weitere unterstützte Methoden finden Sie unter Authentifizierung und Autorisierung für Amazon MQ für RabbitMQ-Broker.

Anmerkung

Das SSL-Zertifikat-Authentifizierungs-Plugin ist nur für Amazon MQ für RabbitMQ Version 4 und höher verfügbar.

Wichtige Überlegungen

  • Client-Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert werden. Amazon MQ for RabbitMQ validiert die Zertifikatskette während der Authentifizierung.

  • Amazon MQ for RabbitMQ erzwingt die Verwendung von AWS ARNs für zertifikatsbezogene Einstellungen wie CA-Zertifikate und für Einstellungen, die Zugriff auf das lokale Dateisystem erfordern. Weitere Informationen finden Sie unter ARN-Unterstützung in der RabbitMQ-Konfiguration.

  • Amazon MQ erstellt automatisch einen Systembenutzer monitoring-AWS-OWNED-DO-NOT-DELETE mit nur Überwachungsberechtigungen. Dieser Benutzer verwendet das interne Authentifizierungssystem von RabbitMQ auch bei Brokern, für die SSL-Zertifikate aktiviert sind, und ist auf den Zugriff auf die Loopback-Schnittstelle beschränkt. Amazon MQ verhindert das Löschen dieses Benutzers, indem es das geschützte Benutzer-Tag hinzufügt.

Informationen zur Konfiguration der SSL-Zertifikatsauthentifizierung für Ihre Amazon MQ for RabbitMQ Broker finden Sie unter. Verwendung der SSL-Zertifikatsauthentifizierung

Unterstützte SSL-Konfigurationen

Amazon MQ für RabbitMQ unterstützt die SSL/TLS Konfiguration von Client-Verbindungen. Einzelheiten zur ARN-Unterstützung finden Sie unter ARN-Unterstützung in der RabbitMQ-Konfiguration.

Konfigurationen, die Folgendes erfordern ARNs

ssl_options.cacertfile

Stattdessen aws.arns.ssl_options.cacertfile verwenden

Anmeldekonfigurationen für SSL-Zertifikate

Die folgenden Konfigurationen steuern, wie Benutzernamen aus Client-Zertifikaten extrahiert werden:

ssl_cert_login_from

Gibt an, welches Zertifikatsfeld für die Benutzernamenextraktion verwendet werden soll. Unterstützte Werte:

  • distinguished_name- Verwenden Sie den vollständigen Distinguished Name

  • common_name- Verwenden Sie das Feld Common Name (CN)

  • subject_alternative_nameoder subject_alt_name — Verwenden Sie den alternativen Namen des Betreffs

ssl_cert_login_san_type

Gibt bei Verwendung des alternativen Antragstellers den SAN-Typ an. Unterstützte Werte: dnsip,email,uri, other_name

ssl_cert_login_san_index

Gibt bei Verwendung von Subject Alternative Name den Index des zu verwendenden SAN-Eintrags an (auf Null basierend). Muss eine nicht negative Ganzzahl sein.

SSL-Optionen für Client-Verbindungen

Die folgenden SSL-Optionen gelten für Client-Verbindungen:

ssl_options.verify

Modus „Peer-Verifizierung“. Unterstützte Werte:verify_none, verify_peer

ssl_options.fail_if_no_peer_cert

Ob Verbindungen abgelehnt werden sollen, wenn der Client kein Zertifikat bereitstellt. Boolescher Wert:

ssl_options.depth

Maximale Tiefe der Zertifikatskette für die Überprüfung.

ssl_options.hostname_verification

Modus zur Überprüfung des Hostnamens. Unterstützte Werte:wildcard, none

Nicht unterstützte SSL-Optionen

Die folgenden SSL-Konfigurationsoptionen werden nicht unterstützt:

  • ssl_options.cert

  • ssl_options.client_renegotiation

  • ssl_options.dh

  • ssl_options.dhfile

  • ssl_options.honor_cipher_order

  • ssl_options.honor_ecc_order

  • ssl_options.key.RSAPrivateKey

  • ssl_options.key.DSAPrivateKey

  • ssl_options.key.PrivateKeyInfo

  • ssl_options.log_alert

  • ssl_options.password

  • ssl_options.psk_identity

  • ssl_options.reuse_sessions

  • ssl_options.secure_renegotiate

  • ssl_options.versions.$version

  • ssl_options.sni

  • ssl_options.crl_check

Zusätzliche Validierungen für SSL-Konfigurationen in Amazon MQ

Amazon MQ erzwingt außerdem die folgenden zusätzlichen Validierungen für die SSL-Zertifikatsauthentifizierung:

  • Falls eine Einstellung die Verwendung eines AWS ARN erfordert, aws.arns.assume_role_arn muss dieser angegeben werden.