Autenticación con certificado SSL para Amazon MQ para RabbitMQ - Amazon MQ
Configuraciones SSL compatiblesValidaciones adicionales para las configuraciones de SSL en Amazon MQ

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación con certificado SSL para Amazon MQ para RabbitMQ

Amazon MQ para RabbitMQ admite la autenticación de usuarios de corredores mediante certificados de cliente X.509. Para ver otros métodos compatibles, consulte Autenticación y autorización de Amazon MQ para corredores de RabbitMQ.

nota

El complemento de autenticación con certificado SSL solo está disponible para Amazon MQ para RabbitMQ versión 4 y versiones posteriores.

Consideraciones importantes

  • Los certificados de cliente deben estar firmados por una autoridad de certificación (CA) de confianza. Amazon MQ for RabbitMQ valida la cadena de certificados durante la autenticación.

  • Amazon MQ for RabbitMQ impone el uso de para configuraciones relacionadas con certificados, como los certificados de CA, y AWS ARNs para configuraciones que requieren acceso al sistema de archivos local. Consulte la compatibilidad con ARN en la configuración de RabbitMQ para obtener más detalles.

  • Amazon MQ crea automáticamente un usuario del sistema llamado monitoring-AWS-OWNED-DO-NOT-DELETE con permisos de solo supervisión. Este usuario utiliza el sistema de autenticación interno de RabbitMQ incluso en corredores con certificados SSL y está restringido únicamente al acceso a la interfaz de bucle invertido. Amazon MQ impide la eliminación de este usuario añadiendo la etiqueta de usuario protegido.

Para obtener información sobre cómo configurar la autenticación con certificado SSL para sus corredores de Amazon MQ para RabbitMQ, consulte. Uso de la autenticación con certificado SSL

Configuraciones SSL compatibles

Amazon MQ para RabbitMQ admite SSL/TLS la configuración de las conexiones de los clientes. Para obtener más información sobre la compatibilidad con ARN, consulte Compatibilidad con ARN en la configuración de RabbitMQ.

Configuraciones que requieren ARNs

ssl_options.cacertfile

En su lugar, use aws.arns.ssl_options.cacertfile

Configuraciones de inicio de sesión con certificado SSL

Las siguientes configuraciones controlan la forma en que se extraen los nombres de usuario de los certificados de los clientes:

ssl_cert_login_from

Especifica qué campo de certificado se debe utilizar para la extracción del nombre de usuario. Valores admitidos:

  • distinguished_name- Utilice el nombre distintivo completo

  • common_name- Utilice el campo Nombre común (CN)

  • subject_alternative_nameo subject_alt_name - Utilice el nombre alternativo del asunto

ssl_cert_login_san_type

Cuando utilice el nombre alternativo del sujeto, especifique el tipo de SAN. Valores admitidos: dnsip,email,uri, other_name

ssl_cert_login_san_index

Al utilizar el nombre alternativo del sujeto, especifica el índice de la entrada de SAN que se va a utilizar (de base cero). Debe ser un número entero no negativo.

Opciones de SSL para las conexiones de los clientes

Las siguientes opciones de SSL se aplican a las conexiones de los clientes:

ssl_options.verify

Modo de verificación por pares. Valores admitidos:verify_none, verify_peer

ssl_options.fail_if_no_peer_cert

Si se deben rechazar las conexiones si el cliente no proporciona un certificado. Valor booleano.

ssl_options.depth

Profundidad máxima de la cadena de certificados para la verificación.

ssl_options.hostname_verification

Modo de verificación del nombre de host. Valores admitidos:wildcard, none

Opciones de SSL no compatibles

No se admiten las siguientes opciones de configuración de SSL:

  • ssl_options.cert

  • ssl_options.client_renegotiation

  • ssl_options.dh

  • ssl_options.dhfile

  • ssl_options.honor_cipher_order

  • ssl_options.honor_ecc_order

  • ssl_options.key.RSAPrivateKey

  • ssl_options.key.DSAPrivateKey

  • ssl_options.key.PrivateKeyInfo

  • ssl_options.log_alert

  • ssl_options.password

  • ssl_options.psk_identity

  • ssl_options.reuse_sessions

  • ssl_options.secure_renegotiate

  • ssl_options.versions.$version

  • ssl_options.sni

  • ssl_options.crl_check

Validaciones adicionales para las configuraciones de SSL en Amazon MQ

Amazon MQ también aplica las siguientes validaciones adicionales para la autenticación de certificados SSL:

  • Si alguna configuración requiere el uso de un AWS ARN, aws.arns.assume_role_arn debe proporcionarse.