为 RabbitMQ 服务器启用 SSL/TLS
原创
为 RabbitMQ 服务器启用 SSL/TLS
TOC
为客户端和服务器生成自签名证书
为了启用 TLS/SSL,我们需要证书/密钥对。 这可以借助 OpenSSL 为客户端和服务器生成自签名证书。
- 生成自签名CA证书
我们现在将使用 OpenSSL 创建所有必需的密钥和证书。 让我们开始创建 CA 证书。 确保所有证书都放在以下目录中:
cd /home/chen/rabbitmq_server-3.11.6/ssl第一步是制作根私钥:
openssl genrsa -out RMQ-CA-Key.pem下一步是签署证书。
openssl req -new -key RMQ-CA-Key.pem -x509 -days 100 -out RMQ-CA-cert.pem运行上述命令后,交互式脚本将启动并询问各种信息。 我们将在此处提供所有必需的详细信息。
输入Common-Name (CN) 时需要注意要使用服务器 IP 或 hostname。 完成后,这将生成根 CA 证书。
现在,我们将创建服务器密钥和服务器证书。
- 生成服务器密钥
openssl genrsa -out RMQ-server-key.pem- 生成 CSR(证书签名请求):
openssl req -new -key RMQ-server-key.pem -out RMQ-signingrequest.csr当我们运行上面的命令时,它会询问各种参数(Country、State、ON、OU 等),我们还需要选择一个 common name (CN)。 这最好是服务器的 IP 或 hostname。
- 生成自签名证书
openssl x509 -req -days 100 -in RMQ-signingrequest.csr -CA RMQ-CA-cert.pem -CAkey RMQ-CA-Key.pem -CAcreateserial -out RMQ-server-cert.pem最后,我们需要使用它们来设置 TLS/SSL。
如果你打算启用双向验证,还需要执行如下额外步骤,来生成客户端证书和密钥:
- 生成客户端密钥
openssl genrsa -out RMQ-client-key.pem- 生成 CSR(证书签名请求):
openssl req -new -key RMQ-client-key.pem -out RMQ-signingrequest.csr当我们运行上面的命令时,它会询问各种参数(Country、State、ON、OU 等),我们还需要选择一个common name (CN)。 这最好是客户端的 IP 或 hostname。
- 生成自签名证书
openssl x509 -req -days 100 -in RMQ-signingrequest.csr -CA RMQ-CA-cert.pem -CAkey RMQ-CA-Key.pem -CAcreateserial -out RMQ-client-cert.pem最终,我们生成了以下文件:
chenjing@LAPTOP-IH0640SI:/home/chen/rabbitmq_server-3.11.6/ssl$ ls -l
drwxrwxrwx 1 chenjing chenjing 4096 Feb 18 11:54 ./
drwxrwxrwx 1 chenjing chenjing 4096 Feb 18 12:00 ../
-rwxrwxrwx 1 chenjing chenjing 1679 Feb 18 11:40 RMQ-CA-Key.pem
-rwxrwxrwx 1 chenjing chenjing 1452 Feb 18 11:37 RMQ-CA-cert.pem
-rwxrwxrwx 1 chenjing chenjing 1452 Feb 18 11:37 RMQ-server-cert.pem
-rwxrwxrwx 1 chenjing chenjing 1452 Feb 18 11:37 RMQ-server-key.pem
-rwxrwxrwx 1 chenjing chenjing 1338 Feb 18 11:40 RMQ-client-cert.pem
-rwxrwxrwx 1 chenjing chenjing 1679 Feb 18 11:37 RMQ-client-key.pem在 RabbitMQ 服务器中启用 TLS/SSL 支持
要在 RabbitMQ 中启用 TLS 支持,我们需要在以下位置创建一个名为 rabbitmq.conf 的配置文件:
cd ~/rabbitmq_server-3.11.6/etc/rabbitmq/
vim rabbitmq.conf然后,将以下配置代码粘贴到文件中:
listeners.ssl.default = 5671
ssl_options.cacertfile = /home/chen/rabbitmq_server-3.11.6/ssl/RMQ-CA-cert.pem
ssl_options.certfile = /home/chen/rabbitmq_server-3.11.6/ssl/RMQ-server-cert.pem
ssl_options.keyfile = /home/chen/rabbitmq_server-3.11.6/ssl/RMQ-server-key.pem
# 启用双向认证
ssl_options.verify = verify_peer
ssl_options.fail_if_no_peer_cert=true
# 如果不启用双向认证,请取消注释下面两行
#ssl_options.verify = verify_none
#ssl_options.fail_if_no_peer_cert = false使用 RabbitMQ Assistant 连接
RabbitMQ Assistant下载地址:http://www.redisant.cn/rta
如果打算使用 RabbitMQ Assistant 进行连接,客户端证书需要使用 pfx 格式:
openssl x509 -in RMQ-client-cert.pem -out RMQ-client-cert.crt
openssl pkcs12 -export -in RMQ-client-cert.crt -inkey RMQ-client-key.pem -out client.pfx
更多参考资料见以下链接:
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
