13.2. 消息传递传输安全性

基于 AMQP 的解决方案(Qpid 和 RabbitMQ)支持使用 TLS 的传输级安全性。

考虑为您的消息队列启用传输层安全性加密。使用 TLS 进行消息传递客户端连接，提供从篡改和拖放到消息传递服务器的通信保护。以下是如何为两个常见消息传递服务器配置 TLS 的指南： Qpid 和 RabbitMQ。当您配置消息传递服务器用来验证客户端连接的可信证书颁发机构(CA)捆绑包时，建议只限制用于节点的 CA，最好是内部管理的 CA。可信 CA 的捆绑包将决定哪些客户端证书将获得授权并传递设置 TLS 连接的客户端-服务器验证步骤。

注意

安装证书和密钥文件时，请确保对文件权限进行限制，例如使用 chmod 0600，并且所有权仅限于消息传递服务器守护进程用户，以防止消息传递服务器上的其他进程和用户进行未经授权的访问。

13.2.1. RabbitMQ 服务器 SSL 配置
复制链接

以下几行应添加到系统范围的 RabbitMQ 配置文件中，通常为 /etc/rabbitmq/rabbitmq.config ：

[
  {rabbit, [
     {tcp_listeners, [] },
     {ssl_listeners, [{"<IP address or hostname of management network interface>", 5671}] },
     {ssl_options, [{cacertfile,"/etc/ssl/cacert.pem"},
                    {certfile,"/etc/ssl/rabbit-server-cert.pem"},
                    {keyfile,"/etc/ssl/rabbit-server-key.pem"},
                    {verify,verify_peer},
                    {fail_if_no_peer_cert,true}]}
   ]}
].

[
  {rabbit, [
     {tcp_listeners, [] },
     {ssl_listeners, [{"<IP address or hostname of management network interface>", 5671}] },
     {ssl_options, [{cacertfile,"/etc/ssl/cacert.pem"},
                    {certfile,"/etc/ssl/rabbit-server-cert.pem"},
                    {keyfile,"/etc/ssl/rabbit-server-key.pem"},
                    {verify,verify_peer},
                    {fail_if_no_peer_cert,true}]}
   ]}
].

Copy to Clipboard

Toggle word wrap

注意

tcp_listeners 选项被设置为 []，以防止它监听非 SSL 端口。ssl_listeners 选项应限制为仅侦听服务的管理网络。

返回顶部

13.2. 消息传递传输安全性

13.2.1. RabbitMQ 服务器 SSL 配置
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

13.2. 消息传递传输安全性

13.2.1. RabbitMQ 服务器 SSL 配置复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

13.2.1. RabbitMQ 服务器 SSL 配置
复制链接