Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autenticazione del certificato SSL per Amazon MQ for RabbitMQ
Amazon MQ for RabbitMQ supporta l'autenticazione degli utenti del broker tramite certificati client X.509. Per altri metodi supportati, consulta Autenticazione e autorizzazione per i broker Amazon MQ for RabbitMQ.
Nota
Il plug-in di autenticazione del certificato SSL è disponibile solo per Amazon MQ for RabbitMQ versione 4 e successive.
Considerazioni importanti
-
I certificati client devono essere firmati da un'autorità di certificazione (CA) affidabile. Amazon MQ for RabbitMQ convalida la catena di certificati durante l'autenticazione.
-
Amazon MQ for RabbitMQ ne impone l'uso AWS ARNs per le impostazioni relative ai certificati, come i certificati CA, e per le impostazioni che richiedono l'accesso al file system locale. Vedi il supporto ARN nella configurazione di RabbitMQ per maggiori dettagli.
-
Amazon MQ crea automaticamente un utente di sistema denominato
monitoring-AWS-OWNED-DO-NOT-DELETEcon autorizzazioni di solo monitoraggio. Questo utente utilizza il sistema di autenticazione interno di RabbitMQ anche su broker abilitati ai certificati SSL ed è limitato al solo accesso all'interfaccia di loopback. Amazon MQ impedisce l'eliminazione di questo utente aggiungendo il tag utente protetto.
Per informazioni su come configurare l'autenticazione del certificato SSL per i broker Amazon MQ for RabbitMQ, consulta. Utilizzo dell'autenticazione tramite certificato SSL
In questa pagina
Configurazioni SSL supportate
Amazon MQ for RabbitMQ supporta la SSL/TLS configurazione per le connessioni client. Per i dettagli sul supporto ARN, vedere Supporto ARN nella configurazione di RabbitMQ.
Configurazioni che richiedono ARNs
ssl_options.cacertfile-
Usa invece
aws.arns.ssl_options.cacertfile
Configurazioni di accesso con certificato SSL
Le seguenti configurazioni controllano il modo in cui i nomi utente vengono estratti dai certificati client:
ssl_cert_login_from-
Speciifica quale campo del certificato utilizzare per l'estrazione del nome utente. Valori supportati:
distinguished_name- Usa il nome distinto completocommon_name- Usa il campo Common Name (CN)subject_alternative_nameoppuresubject_alt_name- Usa il nome alternativo del soggetto
ssl_cert_login_san_type-
Quando si utilizza Subject Alternative Name, specifica il tipo di SAN. Valori supportati:
dns,,ip,email,uriother_name ssl_cert_login_san_index-
Quando si utilizza Subject Alternative Name, specifica l'indice della voce SAN da utilizzare (a base zero). Deve essere un numero intero non negativo.
Opzioni SSL per le connessioni client
Le seguenti opzioni SSL si applicano alle connessioni client:
ssl_options.verify-
Modalità di verifica tra pari. Valori supportati:
verify_none,verify_peer ssl_options.fail_if_no_peer_cert-
Se rifiutare le connessioni se il client non fornisce un certificato. Valore booleano.
ssl_options.depth-
Profondità massima della catena di certificati per la verifica.
ssl_options.hostname_verification-
Modalità di verifica del nome host. Valori supportati:
wildcard,none
Opzioni SSL non supportate
Le seguenti opzioni di configurazione SSL non sono supportate:
-
ssl_options.cert -
ssl_options.client_renegotiation -
ssl_options.dh -
ssl_options.dhfile -
ssl_options.honor_cipher_order -
ssl_options.honor_ecc_order -
ssl_options.key.RSAPrivateKey -
ssl_options.key.DSAPrivateKey -
ssl_options.key.PrivateKeyInfo -
ssl_options.log_alert -
ssl_options.password -
ssl_options.psk_identity -
ssl_options.reuse_sessions -
ssl_options.secure_renegotiate -
ssl_options.versions.$version -
ssl_options.sni -
ssl_options.crl_check
Convalide aggiuntive per le configurazioni SSL in Amazon MQ
Amazon MQ applica anche le seguenti convalide aggiuntive per l'autenticazione dei certificati SSL:
-
Se un'impostazione richiede l'uso di un AWS ARN,
aws.arns.assume_role_arndeve essere fornita.
