RabbitMQ TLS issue

最新推荐文章于 2024-07-29 02:25:39 发布
最新推荐文章于 2024-07-29 02:25:39 发布
阅读量1.2k 收藏 1
点赞数 2
文章标签: rabbitmq TLS ciphers
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hulei0503/article/details/89676960
版权

我想测试TLS 是否已经集成到RabbitMQ, 但是遇到这个问题

Issue one "tlsv1 alert insufficient security"

openssl s_client -connect localhost:5671 -cert /usr/local/etc/rabbitmq/ssl/client/rabbit-client.cert.pem -key /usr/local/etc/rabbitmq/ssl/client/rabbit-client.key.pem  -CAfile /usr/local/etc/rabbitmq/ssl/ca/cacert.pem
CONNECTED(00000003)
4574606956:error:1407742F:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert insufficient security:s23_clnt.c:802:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 307 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1556521976
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Sloutions:  添加:”ciphers“, 我自己完整的 ”rabbitmq.config“

%% Both the client and rabbitmq server were running on the same machine, a MacBookPro laptop.
%%
%% rabbitmq.config was created in its default location for OS X: /usr/local/etc/rabbitmq/rabbitmq.config.
%%
%% The contents of the example rabbitmq.config are for demonstration purposes only. See https://www.rabbitmq.com/ssl.html for instructions about creating the test certificates and the contents of rabbitmq.config.
%%
%% Note that the {fail_if_no_peer_cert,false} option, states that RabbitMQ should accept clients that don't have a certificate to send to the broker, but through the {verify,verify_peer} option, we state that if the client does send a certificate to the broker, the broker must be able to establish a chain of trust to it.


 [
  {ssl, [{versions, ['tlsv1.2', 'tlsv1.1', tlsv1]},
         {ciphers,  [{dhe_rsa,aes_256_cbc,sha}]}
        ]},

  {rabbit, [
     {ssl_listeners, [5671]},
     {tcp_listeners, []},
     {ssl_options, [{cacertfile,"/usr/local/etc/rabbitmq/ssl/ca/cacert.pem"},
                    {certfile,"/usr/local/etc/rabbitmq/ssl/server/www.myrabbit.com.cert.pem"},
                    {keyfile,"/usr/local/etc/rabbitmq/ssl/server/www.myrabbit.com.key.pem"},
                    {verify,verify_peer},
                    {fail_if_no_peer_cert,false},
                    {versions, ['tlsv1.2', 'tlsv1.1', tlsv1]},
                    {ciphers, ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
                        "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384", "ECDHE-ECDSA-DES-CBC3-SHA",
                        "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384","ECDH-ECDSA-AES256-SHA384",
                        "ECDH-RSA-AES256-SHA384","DHE-DSS-AES256-GCM-SHA384","DHE-DSS-AES256-SHA256",
                        "AES256-GCM-SHA384","AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
                        "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256","ECDHE-RSA-AES128-SHA256",
                        "ECDH-ECDSA-AES128-GCM-SHA256","ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
                        "ECDH-RSA-AES128-SHA256","DHE-DSS-AES128-GCM-SHA256","DHE-DSS-AES128-SHA256",
                        "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
                        "ECDHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA","ECDH-ECDSA-AES256-SHA",
                        "ECDH-RSA-AES256-SHA","AES256-SHA","ECDHE-ECDSA-AES128-SHA",
                        "ECDHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
                        "ECDH-RSA-AES128-SHA","AES128-SHA"]},
                  {honor_cipher_order, true}
                   ]},
     {heartbeat,30}
   ]}
].

 

Testing/测试:

测试用例:

Huleis-MacBook-Pro:RabbitMQ llhu$ cat 7.py
#!/usr/bin/env python
import ssl
import pika
import logging

logging.basicConfig(level=logging.INFO)

context = ssl.SSLContext(ssl.PROTOCOL_TLSv1)
context.verify_mode = ssl.CERT_REQUIRED
#ssl._create_default_https_context = ssl._create_unverified_context
context.load_verify_locations('/usr/local/etc/rabbitmq/ssl/ca/cacert.pem')

cp = pika.ConnectionParameters(ssl_options=pika.SSLOptions(context))

conn = pika.BlockingConnection(cp)
ch = conn.channel()
print(ch.queue_declare("sslq"))
ch.basic_publish("", "sslq", "hello message!!!")
print(ch.basic_get("sslq"))

测试结果:

MacBook-Pro:RabbitMQ llhu$ ./7.py
INFO:pika.adapters.utils.connection_workflow:Pika version 1.0.1 connecting to ('::1', 5671, 0, 0)
INFO:pika.adapters.utils.io_services_utils:Socket connected: <socket.socket fd=8, family=AddressFamily.AF_INET6, type=SocketKind.SOCK_STREAM, proto=6, laddr=('::1', 61538, 0, 0), raddr=('::1', 5671, 0, 0)>
INFO:pika.adapters.utils.io_services_utils:SSL handshake completed successfully: <ssl.SSLSocket fd=8, family=AddressFamily.AF_INET6, type=SocketKind.SOCK_STREAM, proto=6, laddr=('::1', 61538, 0, 0), raddr=('::1', 5671, 0, 0)>
INFO:pika.adapters.utils.connection_workflow:Streaming transport linked up: (<pika.adapters.utils.io_services_utils._AsyncSSLTransport object at 0x10f45f4e0>, _StreamingProtocolShim: <SelectConnection PROTOCOL transport=<pika.adapters.utils.io_services_utils._AsyncSSLTransport object at 0x10f45f4e0> params=<ConnectionParameters host=localhost port=5671 virtual_host=/ ssl=True>>).
INFO:pika.adapters.utils.connection_workflow:AMQPConnector - reporting success: <SelectConnection OPEN transport=<pika.adapters.utils.io_services_utils._AsyncSSLTransport object at 0x10f45f4e0> params=<ConnectionParameters host=localhost port=5671 virtual_host=/ ssl=True>>
INFO:pika.adapters.utils.connection_workflow:AMQPConnectionWorkflow - reporting success: <SelectConnection OPEN transport=<pika.adapters.utils.io_services_utils._AsyncSSLTransport object at 0x10f45f4e0> params=<ConnectionParameters host=localhost port=5671 virtual_host=/ ssl=True>>
INFO:pika.adapters.blocking_connection:Connection workflow succeeded: <SelectConnection OPEN transport=<pika.adapters.utils.io_services_utils._AsyncSSLTransport object at 0x10f45f4e0> params=<ConnectionParameters host=localhost port=5671 virtual_host=/ ssl=True>>
INFO:pika.adapters.blocking_connection:Created channel=1

检查服务器日志:

2019-04-29 15:50:14.261 [info] <0.1637.0> accepting AMQP connection <0.1637.0> ([::1]:61538 -> [::1]:5671)
2019-04-29 15:50:14.265 [info] <0.1637.0> connection <0.1637.0> ([::1]:61538 -> [::1]:5671): user 'guest' authenticated and granted access to vhost '/'
2019-04-29 15:50:14.274 [warning] <0.1637.0> closing AMQP connection <0.1637.0> ([::1]:61538 -> [::1]:5671, vhost: '/', user: 'guest'):
client unexpectedly closed TCP connection

 

 

IBM_jinglei
关注
检查服务器证书,ssl-用于检查服务器是否提供证书的OpenSSL命令
weixin_27966471的博客
07-31 2449
我试图运行openssl命令来缩小尝试从我们的系统发送出站消息时SSL问题的范围。我在另一个主题中找到了此命令:使用openssl从服务器获取证书openssl s_client -connect ip:port -prexit此输出结果为CONNECTED(00000003)15841:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake f...
signature=6289ab8c3cdf4ca6a21b59b1c1da0e20,OpenSSL v1.1.0 fails to handshake due to wrong version
weixin_32864847的博客
05-30 3617
I can consistently reproduce this against efnet.portlane.se:6697 and efnet.port80.se:6697 on Debian Stretch with 1.1.0.yitzhaq@betty - ~ % openssl versionOpenSSL 1.1.0j 20 Nov 2018yitzhaq@betty - ~ %...
nginx的配置:TLSv1 TLSv1.1 被暴露不安全
最新发布
weixin_42186387的博客
07-29 111
要在 Nginx 配置中禁用不安全的 SSL 协议(如 TLSv1 和 TLSv1.1),并仅启用更安全的协议(如 TLSv1.2 和 TLSv1.3),您可以更新您的 Nginx 配置文件。下面是一个示例配置:登录后复制 # 位于 Nginx 配置文件 (通常是 /etc/nginx/nginx.conf 或者在特定站...
rabbitMQ rascal/amqplib报错 Error: Unexpected close 排查
qq_42152032的博客
11-07 2516
这意味着客户端的 TCP 连接在 AMQP 0-9-1(该客户端的)连接之前关闭。TCP协议通过KeepAlive机制判断是应用程序掉线了还是确实没有数据传输,当超过一段时间之后,TCP自动发送一个数据为空的报文给对方,如果对方回应了这个报文,说明对方还在线,连接可以继续保持,如果对方没有报文返回,并且重试了多次之后则认为连接丢失,没有必要保持连接。在某些极少数情况下,仅靠心跳是不够的(例如,当涉及的连接使用不具有某种心跳机制的协议时),必须将 TCP keepalive 配置为使用相当低的超时值。
centos8之openssl配置
方窗
10-18 9795
centos8当中的openssl默认配置需要做调整,否则一些用了ssl的工具在访问旧服务器时会出现一些问题。 我遇到的情况是svn检出旧服务器上的项目时出现了异常(访问新服务器正常): [root@localhost projects]# svn co https://serverip/svn/Linux/hmihmi svn: E170013: Unable to connect to...
手工测试SSL/TLS的脆弱性
编程岁月
03-01 2333
该文章描绘了主要的SSL/TLS (mis)配置及简单的测试你系统的脆弱性。如下为已考虑到的配置和攻击相关的内容。 SSLv2 Support SSLv3 Support Cipher Suites SSL Certificates Renegotiation Compression Implementation Issues 在二十年以前发布了SSLv2并且就在发布不久后,被发现其存在严重的缺陷,它允许攻击者解密并修改通信流量。在一年之后被替代为SSLv3(已发现这些问题),但是短寿命的S
rabbitmq安装攻略(redhat/centos)
typ2004的专栏
01-05 463
Rabbitmq安装攻略 关于Rabbitmq的安装方法,直白说就是先装erlang,再装rabbitmq,但是很多人依然费心费力。 本文以redhat7环境为例,提供一种方法解决大家的痛苦(其实就是搬运自官网https://www.rabbitmq.com/download.html,其中redhat linux见https://www.rabbitmq.com/install-rpm.html)。 一、安装Erlang Install Erlang Before installing Rabb
WebRTC-SFU服务器-Janus部署【保姆级部署教程】
qq_27890899的博客
05-23 1576
WebRTC SFU(Selective Forwarding Unit)构架是一种通过服务器来路由和转发WebRTC客户端音视频数据流的方法。这种构架的核心特点是将服务器模拟成一个WebRTC的Peer客户端,从而实现了音视频流的直接转发。在SFU构架中,服务器作为中心节点,但并不负责音视频流的混合处理,而是直接将其从一个客户端转发到其他客户端。这种构架的优点在于,由于数据包是直接转发,不需要进行编码、解码等复杂处理,因此对CPU、内存等机器资源的消耗较小。
Openstack搭建
烙痕丷的博客
10-22 854
一、环境准备 内存大于2G 磁盘空间大于5G 注:计算节点和控制节点不要在一起 主机名 操作系统 IP地址 备注 controller CentOS-7.4-x86_64 172.16.10.33 控制节点 compute CentOS-7.4-x86_64 172.16.10.35 计算节点 关...
源码安装OpenStack Ussuri ---Keystone篇
qq_41864617的博客
08-23 1170
源码安装OpenStack Ussuri —Keystone篇 前面我们进行了准备的操作,现在开始源码安装Keystone ,Keystone源码已经上传到我的gitee上面了,下面我们直接用这上面的源码 基础组件安装 dnf -y install python3-devel libffi-devel gcc openssl-devel git python3-pip httpd python3-mod_wsgi Keystone安装 从gitee上拉取指定版本源码并安装 git clone http
openstack-HA(shell脚本)
大坏蛋的博客
07-01 439
#!/bin/bash#CentOS7.2 Install the openstack-HA cluster#author:yongbangyan#mail:229026497@qq.comIpaddr=$(ifconfig eno33554984 |grep "inet " | awk '{print $2}')HostName=$(hostnamectl | grep "Static" | a...
RFC8446 TLS1.3中文版(5-7)
aashuii的博客
10-18 1493
RFC8446
rabiitmq卸载_RabbitMQ 的安装与卸载 以及各种踩坑
weixin_31833039的博客
12-24 1053
RabbitMQ 的安装与卸载 以及各种踩坑当前编写文档时间:2019年4月23日17:42:07安装 -- windowsRabbitMQ依赖于Erlang虚拟机,所以要先安装Erlang,自行官网下载。RabbitMQ download 以及 Erlang官网29 March 2019 更新版本:RabbitMQ 3.7.14 release (后来因为出现了问题,改为3.6.5)This ...
RabbitMQ-TLS连接中的故障排除
平凡
05-09 926
概述 本文涵盖有助于诊断TLS连接问题和错误(TLS警报)的方法和一些工具。这策略是在排除问题过程中使用替代的TLS实现来测试所需的组件,以识别有问题的终端(客户端或服务器)。 请记住,如果两个特定组件之间的交互是造成问题的原因,则不能保证此过程能够识别出问题。 推荐的步骤如下: 验证有效配置 验证节点是否监听TLS连接 验证文件权限 验证Erlang/OTP中的TLS支持 使用OpenSSL命令行工具验证证书/密钥对并使用TLS客户端或服务器进行测试 验证可用和配置的密码套件和证书密
【Python】SMTP发送邮件遇到的‘Connection unexpectedly closed‘及解决办法
热门推荐
weixin_45312251的博客
08-28 1万+
在使用Python中的SMTP发送邮件时,遇到'Connection unexpectedly closed'的解决办法
解决问题中 keyword: goahead ssl arm
huanghuibo的专栏
11-26 5179
<br />我已将openssl移植到arm板中,webserver使用的是GoAhead webserver, <br />webserver运行成功加载证书及key文件,IE可以下载证书,但是打不开web页面。 <br />用openssl测试打印信息如下: <br />F:/Software/OpenSSL>openssl s_client -connect 138.1.60.1:443 -state <br />Loading 'screen' into random state - done <b
使用OpenSSL创建证书
iteye_2989的博客
04-23 555
想使用openssl生成一个证书用于加密连接, 但第一次, 经验不足, 查阅数多资料皆不成功。 找到一篇可以解决问题好文章: [url]http://www.howtoforge.com/faq/2_18_en.html[/url] 第一步, 生成private.key文件(私钥?猜测) [code="sh"] $ openssl genrsa -des3 -passout pass...
OPENSSL s_client 实例测试- SSL连接单向验证
wk59121的专栏
11-06 8291
近日在开发项目时使用到wifi,3/4G通讯。 由于行业问题,当连接服务器时需要对服务器,客户端做双向认证。 在行业内,设备需要进行PCI认证,所有的通讯必须进行加密,连接服务器必须支持双向认证,以保证连接的服务器是安全的,保证客户端设备是授权的。 测试准备 操作工具:OPENSSL 可自行下载安装。 客户端证书,以及客户端私钥。 测试过程 以下过程我们以: www.baidu.com 为服务器,测试客户端。 openssl版本信息 C:\Users\Risten&gt...
springboot+rabbitmq+TLS
05-20
Spring Boot是一个非常...以上就是在Spring Boot应用程序中使用RabbitMQTLS进行消息传输的简单示例。需要注意的是,这只是一个基本的示例,实际应用中还需要进行更多的配置和处理,以确保消息传输的安全和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值