RabbitMQ SSl安全认证流程

最新推荐文章于 2024-03-25 09:59:02 发布
最新推荐文章于 2024-03-25 09:59:02 发布
阅读量1k 收藏
点赞数
分类专栏: rabbitmq
原文链接:https://blog.csdn.net/zou100/article/details/100521976
版权

SSL安全认证

  • 文件创建

使用rmqca作为RabbitMQ的认证中心,certs文件用于存放CA产生的证书,private存放CA的密钥,改变其权限不允许第三方访问,serial存放CA证书的序列号,index.txt存放CA颁发的证书

# mkdir rmqca
# cd rmqca
# mkdir certs private
# chmod 700 private
# echo 01 > serial
# touch index.txt
  • 创建openSSL各种命令的配置文件:openssl.conf
    [ ca ]
    default_ca = rmqca
     
     
    [rmqca]
    dir = .
    certificate = $dir/cacert.pem
    database = $dir/index.txt
    new_certs_dir = $dir/certs
    private_key = $dir/private/cakey.pem
    serial = $dir/serial
     
     
    default_crl_days = 7
    default_days = 365
    default_md = sha1
     
     
    policy = rmqca _policy
    x509_extensions = certificate_extensions
     
     
    [ rmqca _policy ]
    commonName = supplied
    stateOrProvinceName = optional
    countryName = optional
    emailAddress = optional
    organizationName = optional
    organizationalUnitName = optional
     
     
    [ certificate_extensions ]
    basicConstraints = CA:false
     
     
    [ req ]
    default_bits = 2048
    default_keyfile = ./private/cakey.pem
    default_md = sha1
    prompt = yes
    distinguished_name = root_ca_distinguished_name
    x509_extensions = root_ca_extensions
     
     
    [ root_ca_distinguished_name ]
    commonName = hostname
     
     
    [ root_ca_extensions ]
    basicConstraints = CA:true
    keyUsage = keyCertSign, cRLSign
     
     
    [ client_ca_extensions ]
    basicConstraints = CA:false
    keyUsage = digitalSignature
    extendedKeyUsage = 1.3.6.1.5.5.7.3.2
     
     
    [ server_ca_extensions ]
    basicConstraints = CA:false
    keyUsage = keyEncipherment
    extendedKeyUsage = 1.3.6.1.5.5.7.3.1

配置详情

[ ca ]

是ca的名称设置,

[rmqca]

设置CA颁发证书和密钥存放路径以及过期时间 (365天),每隔7天提供一个CRL文件,并且使用shal作为哈希函数生成证书;

[ rmqca _policy ]

告诉openssl在证书中哪些是必填项,supplied为必选,optional为可选

[ certificate_extensions ]

false值代表CA不能将自己作为CA----无法用于签名和颁发新证书

[ req ]

指明书生成2048位的密钥,密钥安全方面来说这是最小的数字,,密钥被写入private下的cakey.pem文件,默认使用shal作为默认的哈希函数

[ root_ca_extensions ]

根扩展用于签名其他证书

[ client_ca_extensions ]

用于客户端的证书认证

[ server_ca_extensions ]

用于加密数据以及认证服务器

  • 生成CA证书
    # openssl req -x509 -config openssl.cnf -newkey rsa:2048 -days 365 -out cacert.pem -outform PEM -subj /CN=MyRmqca/ -nodes
    # openssl x509 -in cacert.pem -out cacert.cer -outform DER
  • 生成服务端证书

生成RSA密钥然后为其提供证书

# cd ..
# ls
rmqca
# mkdir server
# cd server
# openssl genrsa -out key.pem 2048
# openssl req -new -key key.pem -out req.pem -outform PEM -subj /CN=$(hostname)/O=server/ -nodes
# cd ../rmqca
# openssl ca -config openssl.cnf -in ../server/req.pem -out ../server/cert.pem -notext -batch -extensions server_ca_extensions
# cd ../server
# openssl pkcs12 -export -out keycert.p12 -in cert.pem -inkey key.pem -passout pass:MySecretPassword
  • 生成客户端证书

生成RSA密钥然后为其提供证书

# cd ..
# ls
server testca
# mkdir client
# cd client
# openssl genrsa -out key.pem 2048
# openssl req -new -key key.pem -out req.pem -outform PEM  -subj /CN=$(hostname)/O=client/ -nodes
# cd ../rmqca
# openssl ca -config openssl.cnf -in ../client/req.pem -out ../client/cert.pem -notext -batch -extensions client_ca_extensions
# cd ../client
# openssl pkcs12 -export -out keycert.p12 -in cert.pem -inkey key.pem -passout pass:MySecretPassword

这样就生成了三份证书,此时serial已经变为03,index.txt也列出了你颁发过的证书

  • 启动RabbitMQ的SSL监听器

为方便,将生成的目录拷贝到/etc/rabbitmq/ssl下

cp -r rmqca /etc/rabbitmq/ssl
 
cp -r server /etc/rabbitmq/ssl
 
cp -r client /etc/rabbitmq/ssl

启用:

vim rabbitmq.config
 
[
 
    {ssl, [{versions, ['tlsv1.2', 'tlsv1.1']}]},
 
    {rabbit, [
 
        {tcp_listeners, [5672]},
 
        {ssl_listeners, [5671]},
 
        {ssl_options, [{cacertfile,"/etc/rabbitmq/ssl/rmqca/cacert.pem"},
 
            {certfile,"/etc/rabbitmq/ssl/server/cert.pem"},
 
            {keyfile,"/etc/rabbitmq/ssl/server/key.pem"},
 
            {verify, verify_peer},
 
            {fail_if_no_peer_cert, true},
 
            {versions, ['tlsv1.2', 'tlsv1.1']}
 
        ]}
 
    ]}
 
].

这样就可以支持普通连接和ssl连接,端口分别为5672和5671

重启rabbitmq服务即可看到已经监听5671端口
7. 使用keytool导入证书

将连接服务器所需要的证书导入到密钥库中

# keytool -import -alias server1 -file /etc/rabbitmq/ssl/server/cert.pem -keystore /etc/rabbitmq/ssl/rabbitstore

会要求输入密码,至少6位数

之后将SSL安全认证产生的文件与rabbitmq.config拷贝到其他机器上,就可以开启RabbitMQ的SSL安全认证了。

若报错-bash: keytool: 未找到命令

配置环境变量  
vim /etc/profile  
 
 

## 添加以下三句

export到文件最后 注意JAVA_HOME的目录为你解压jdk的目录版本为你下载的jdk版本
export JAVA_HOME=/opt/jdk1.8.0_152/
export  CLASSPATH=.:%JAVA_HOME%/lib/dt.jar:%JAVA_HOME%/lib/tools.jar  
export PATH=$PATH:$JAVA_HOME/bin

首先创建SSL文件夹,在rm2和rmq3机器上分别执行

mkdir /etc/rabbitmq/ssl

复制

scp -r /etc/rabbitmq/ssl  root@rmq2:/etc/rabbitmq/ssl
 
scp -r /etc/rabbitmq/rabbitmq.config  root@rmq2:/etc/rabbitmq/
 
scp -r /etc/rabbitmq/ssl  root@rmq3:/etc/rabbitmq/ssl
 
scp -r /etc/rabbitmq/rabbitmq.config  root@rmq3:/etc/rabbitmq/

重启:

rabbitmqctl stop
 
rabbitmq-server &

可以看到启动的两个端口:5671 5672

————————————————
版权声明:本文为CSDN博主「大神中的传说」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zou100/article/details/100521976

我艾希你奶妈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RabbitMQ配置SSL
日积月累,天道酬勤
07-09 7122
主要介绍了如何通过Docker安装RabbitMQ并配置SSL;配置成功之后给出了SpringBoot和Python集成的例子。
rabbitmq配置证书
jia_7m的博客
01-27 1659
rabbitmq wss协议 准备证书 ca证书 server证书 私钥 阿里云中下载pfx证书。使用如下方式转化成Rabbitmq需要配置的证书: 提取ca证书: openssl pkcs12 -in www.xxxx.com.pfx -nodes -password pass:域名证书密码 -nokeys -cacerts -out cacert.pem 提取server证书: openssl pkcs12 -in 4000000_www.xxxx.com.pfx -nodes -passwo
Nginx代的Rabbitmq并开启ssl证书
weixin_43972546的博客
03-25 293
这就完成了SSL配置,在连此连接时,就需要开启SSL的方式。这种配置方式比配置Rabbitmq自身的SSL方法要简单。在/etc/nginx/的目录下创建stream.conf.d目录。在stream.conf.d中新建rabbitmq.conf文件。修改nginx.conf 在nginx添加stream块。Redis及其他的服务也同样适用。
RabbitMq配置ssl
m178643的博客
11-01 2727
RabbitMq配置ssl生成证书生成证书签发机构生成服务端公钥,和私钥生成客户端公钥,和私钥生成客户端需要的证书证书生成结束步骤检查修改RabbitMQSSL配置重启rabbitmq服务 接下来会简述证书生成,ssl端口开放 ##下载SSL证书生成器 git clone https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git 生成证书 cd CMF-AMQP-Configuration/ssl 配置当前目录下的openssl
RabbitMQ配置SSL
皓月如我的专栏
11-15 1360
在开发环境下生成为RabbitMQ配置SSL
195、SpringBoot--配置RabbitMQ消息Broker的SSL 和 管理控制台的HTTPS
Java 领域技术分享
10-08 1641
SpringBoot--配置RabbitMQ消息Broker的SSL 和 管理控制台的HTTPS
阿里云RabbitMQ认证DEMO
12-16
阿里云RabbitMQ认证DEMO(C++、net、go、node、php、java、python、ruby)
RabbitMQ接口处理方案流程
09-21
RabbitMQ接口处理方案;processOn;
JAVA获取rabbitmq消息总数过程详解
08-25
主要介绍了JAVA获取rabbitmq消息总数过程详解,公司使用的是rabbitMQ,需要做监控预警的job去监控rabbitMQ里面的堆积消息个数,如何使用rabbitMQ获取监控的队列里面的队列消息个数呢,需要的朋友可以参考下
RabbitMQ系统客户端连接到RabbitMQ服务端消息通信过程1
08-03
1.首先客户端调用amqp_connection_sup:start_link()在amqp_sup监督进程下启动 2.客户端连接后立刻发送RabbitMQ协议
RabbitMQ Server3.13.0
最新发布
04-02
RabbitMQ Server端exe安装包下载 附带erlang 语言包 otp_win64_26.2.2
IBMMQ配置SSL连接
08-30
手把手教你怎么配置IBM WEBSPHERE MQ通过SSL连接,附详细步骤和实例代码
RabbitMQ开启TLS支持,解决AMQP明文身份验证漏洞
创意程序员的博客
02-26 1867
随着网络通信安全性的日益重要,我们不难发现,在企业级应用中,数据传输的安全防护措施已经成为不可或缺的一环。近期,不少使用RabbitMQ的开发团队收到了关于“远程主机允许明文身份验证”的漏洞警告。为确保敏感信息的安全传递,启用TLS(Transport Layer Security)支持成为了关键的解决方案。本文将详细介绍如何在RabbitMQ中启用TLS加密,以及在SpringBoot应用中配置TLS并设置EXTERNAL认证,通过实际操作步骤解决明文身份验证漏洞。
rabbitmq连接认证_RabbitMQ
weixin_30104235的博客
12-31 1701
一、 什么是 RabbitMQ二、 安装 RabbitMQ 1 安装 Erlang 1.1什么是 Erlang Erlang(['ə:læŋ])是一种通用的面向并发的编程语言,它由瑞典电信设备制造商爱立信所辖的 CS-Lab 开发,目的是创造一种可以应对大规模并发活动的编程语言和运行环境 。系统版本:CentOS 6.5 RabbitMQ-Server:3.5.1 2 安装 erlang 2.1安...
RabbitMQ指南(七) SSL\TLS通信
青晨的歌
11-06 3868
RabbitMQ指南(七) SSL\TLS通信7.1 证书生成和配置7.2 Java客户端7.3 C#客户端 7.1 证书生成和配置   RabbitMQ对外提供服务时,为保证通信的安全性,通常使用SSL/TLS加密通信。   关于非对称加密、SSL\TLS协议、证书授权中心(Certificate Authority,CA)可参考其他资料,本文仅演示RabbitMQ SSL\TLS通信的具体操作...
rabbitmq 配置安全加密的ssl连接
zhujun2008的博客
09-28 1163
Greyfoss 为自定义的证书签发机构名称,该脚本会生成一个ca目录,存储证书颁发机构的信息以及签发的证书# 生成服务端公钥和私钥 rabbit-server为生成的密钥前缀 123456为该秘钥自定义的密码# 生成客户端公钥和私钥#使用java的keytool工具生成客户端需要的证书,用以支持服务端和客户端进行通信,生成该证书需要提前安装配置java环境,此处默认已正确安装java环境-import 将已签名数字证书导入密钥库。
RabbitMQ 服务器启用 SSL/TLS
serene的博客
02-18 1017
RabbitMQ 服务器启用 SSL/TLS。为了启用 TLS/SSL,我们需要证书/密钥对。 这可以借助 OpenSSL 为客户端和服务器生成自签名证书
java Rabbitmq ssl 安全连接详细流程(附图)
weixin_39427718的博客
10-20 3314
Rabbitmq ssl 安全连接流程1 生成证书2 配置服务端3 编辑java客户端 1 生成证书 git clone https://github.com/michaelklishin/tls-gen tls-gen 执行生成命令 cd tls-gen/basic 执行make命令(如提示make命令不存在,请安装python3,同时请确保已存在openssl,可通过openssl命令,如进入命令行,则表示存在,123456为后续加载服务端证书和客户端证书的密码) make PASSWORD=1
RabbitMQ设置SSL相关操作
一只没有脚的鸟
11-12 9155
相关文件 openssl.cnf 文件配置 [ ca ] default_ca = testca [ testca ] ...
windows RabbitMQ开启SSL
02-20
要在Windows上启用RabbitMQSSL,您需要执行以下步骤: 1. 安装Erlang:RabbitMQ是使用Erlang编写的,因此您需要先安装Erlang。您可以从Erlang官方网站(https://www.erlang.org/downloads)下载适合您系统的安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值