5.2.3.2. 为 AMQP 客户端配置基于证书的身份验证
使用 Simple Authentication and Security Layer( SASL)EXTERNAL 机制配置参数在连接到代理时配置您的 AQMP 客户端以进行基于证书的身份验证。
代理会以验证任何证书的方式验证 AMQP 客户端的传输层 ( TLS)/安全套接字层 (SSL)证书:
- 代理读取客户端的 TLS/SSL 证书,以从证书的主题获取身份。
- 证书主体通过证书登录模块映射到代理身份。然后,代理根据用户的角色授权用户。
以下流程演示了如何为 AMQP 客户端配置基于证书的身份验证。要让您的 AMQP 客户端使用基于证书的身份验证,您必须将配置参数添加到客户端用来连接到代理的 URI 中。
先决条件
您必须已配置:
- 双向 TLS.如需更多信息,请参阅 第 5.1.2 节 “配置双向 TLS”。
- 使用基于证书的身份验证的代理。如需更多信息,请参阅 第 5.2.3.1 节 “将代理配置为使用基于证书的身份验证”。
流程
打开包含要编辑的 URI 的资源:
amqps://localhost:5500
添加参数
sslEnabled=true来为连接启用 TSL/SSL:amqps://localhost:5500?sslEnabled=true
添加与客户端信任存储和密钥存储相关的参数,以便使用代理进行 TSL/SSL 证书交换:
amqps://localhost:5500?sslEnabled=true&trustStorePath=<trust_store_path>&trustStorePassword=<trust_store_password>&keyStorePath=<key_store_path>&keyStorePassword=<key_store_password>
添加参数
saslMechanisms=EXTERNAL,以请求代理使用其 TSL/SSL 证书中找到的身份验证客户端:amqps://localhost:5500?sslEnabled=true&trustStorePath=<trust_store_path>&trustStorePassword=<trust_store_password>&keyStorePath=<key_store_path>&keyStorePassword=<key_store_password>&saslMechanisms=EXTERNAL
其它资源
- 有关 AMQ Broker 中基于证书的身份验证的详情请参考 第 5.2.3.1 节 “将代理配置为使用基于证书的身份验证”。
- 有关配置 AMQP 客户端的更多信息,请访问 红帽客户门户以获取 特定于您的客户的产品文档。
