15.2. 消息传递传输安全性

基于 AMQP 的解决方案(Qpid 和 RabbitMQ)支持使用 TLS 的传输级别安全性。

考虑为您的消息队列启用传输级别加密。将 TLS 用于消息传递客户端连接可保护通信不受篡改，并将通信转换至消息传递服务器。下文包含有关如何为两个流行消息传递服务器配置 TLS 的下方： Qpid 和 RabbitMQ。在配置消息传递服务器用来验证客户端连接的可信证书颁发机构(CA)捆绑包时，建议只限于用于您的节点的 CA，最好是内部管理的 CA。可信 CA 的捆绑包将决定哪些客户端证书将被授权，并传递设置 TLS 连接的 client-server 验证步骤。

注意

安装证书和密钥文件时，请确保对文件权限进行了限制，例如使用 chmod 0600，并且所有权仅限于消息传递服务器上的消息传递服务器守护进程用户，以防止消息传递服务器上的其他进程和用户进行未经授权的访问。

15.2.1. RabbitMQ 服务器 SSL 配置
复制链接

以下行应添加到系统范围的 RabbitMQ 配置文件中，通常为 /etc/rabbitmq/rabbitmq.config ：

[
  {rabbit, [
     {tcp_listeners, [] },
     {ssl_listeners, [{"<IP address or hostname of management network interface>", 5671}] },
     {ssl_options, [{cacertfile,"/etc/ssl/cacert.pem"},
                    {certfile,"/etc/ssl/rabbit-server-cert.pem"},
                    {keyfile,"/etc/ssl/rabbit-server-key.pem"},
                    {verify,verify_peer},
                    {fail_if_no_peer_cert,true}]}
   ]}
].

[
  {rabbit, [
     {tcp_listeners, [] },
     {ssl_listeners, [{"<IP address or hostname of management network interface>", 5671}] },
     {ssl_options, [{cacertfile,"/etc/ssl/cacert.pem"},
                    {certfile,"/etc/ssl/rabbit-server-cert.pem"},
                    {keyfile,"/etc/ssl/rabbit-server-key.pem"},
                    {verify,verify_peer},
                    {fail_if_no_peer_cert,true}]}
   ]}
].

Copy to Clipboard

Toggle word wrap

注意

tcp_listeners 选项被设置为 []，以防止其侦听非 SSL 端口。ssl_listeners 选项应限制为仅侦听服务的管理网络。

15.2. 消息传递传输安全性

15.2.1. RabbitMQ 服务器 SSL 配置
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

15.2. 消息传递传输安全性

15.2.1. RabbitMQ 服务器 SSL 配置复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

15.2.1. RabbitMQ 服务器 SSL 配置
复制链接