RabbitMQ指南(七) SSL\TLS通信

最新推荐文章于 2024-09-27 13:58:54 发布
最新推荐文章于 2024-09-27 13:58:54 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: java 文章标签: rabbit ssl java c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zou100/article/details/100522092
版权

RabbitMQ指南(七) SSL\TLS通信

7.1 证书生成和配置

7.2 Java客户端

7.3 C#客户端


7.1 证书生成和配置
  RabbitMQ对外提供服务时,为保证通信的安全性,通常使用SSL/TLS加密通信。
  关于非对称加密、SSL\TLS协议、证书授权中心(Certificate Authority,CA)可参考其他资料,本文仅演示RabbitMQ SSL\TLS通信的具体操作。对于生成证书,本文使用RabbitMQ官网推荐的tls-gen工具,该工具可在MacOS和Linux系统中使用,要求系统中装有openssl和Python 3.5以上版本。
  使用tls-gen生成证书:
# 下载,也可手工从以下网址下载后上传至服务器
git clone https://github.com/michaelklishin/tls-gen tls-gen
cd tls-gen/basic
# 123456是自定义的私钥密码,客户端会用到
make PASSWORD=123456
make verify
make info
1234567
  证书生成完毕后,会在basic目录下生成result、testca、server和client四个文件夹。
  通常使用单向认证的方式进行SSL\TLS通信,所需的文件为:
  (1)CA的证书文件testca/cacert.cer,C#客户端需要信任签名的CA;
  (2)CA证书文件result/ca_certificate.pem,用于服务端配置;
  (3)服务端证书文件result/server_certificate.pem,用于服务端配置;
  (4)服务端私钥文件result/server_key.pem,用于服务端配置;
  (5)客户端证书文件result/client_key.p12,用于客户端。
  在RabbitMQ解压目录的etc/rabbitmq/路径下,加入文件rabbitmq.conf(本文使用新格式配置文件,旧格式相应配置可自行参照官网的示例文件)。该路径为RabbitMQ默认配置文件路径,也可以RABBITMQ_CONFIG_FILE环境变量指定配置文件的路径。
  rabbitmq.conf内容:
# 限定非SSL\TLS的通信仅可在服务端本地连接
listeners.tcp.default = 127.0.0.1:5672
# SSL\TLS通信的端口
listeners.ssl.default = 5671
# 服务端私钥和证书文件配置
ssl_options.cacertfile = /root/tls-gen/basic/result/ca_certificate.pem
ssl_options.certfile = /root/tls-gen/basic/result/server_certificate.pem
ssl_options.keyfile = /root/tls-gen/basic/result/server_key.pem
# 有verify_none和verify_peer两个选项,verify_none表示完全忽略验证证书的结果,verify_peer表示要求验证对方证书
ssl_options.verify = verify_peer
# 若为true,服务端会向客户端索要证书,若客户端无证书则中止SSL握手;若为false,则客户端没有证书时依然可完成SSL握手
ssl_options.fail_if_no_peer_cert = true
123456789101112


7.2 Java客户端
  使用Java提供的keytool工具,将服务端证书server_certificate.pem转换为keystore证书文件:
keytool -import -alias rabbitmqserver -file F:/server_certificate.pem -keystore F:/server.keystore
  其中,“F:/server_certificate.pem”是服务端证书文件路径,“F:/server.keystore”是生成的keystore证书文件的路径。生成文件时要求设置一个密钥库口令,本文设置为“abcdef”。
  Java客户端如下:
import java.io.FileInputStream;
import java.security.KeyStore;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;

import com.rabbitmq.client.Channel;
import com.rabbitmq.client.Connection;
import com.rabbitmq.client.ConnectionFactory;


public class Sender {

    // RabbitMQ服务端地址、端口、用户名、密码
    private static final String ADDRESS = "10.176.64.227";
    private static final int PORT = 5671;
    private static final String USERNAME = "mqtester";
    private static final String PASSWORD = "mqtester";
    
    private static final String DEFAULT_EXCHANGE = "";
    private static final String QUEUE_NAME = "Queue_Java";
    
    // 使用tls-gen工具生成证书文件时设置的私钥密码
    private static final String CLIENT_KEYSTORE_PASSWORD = "123456";
    // 客户端证书文件client_key.p12路径
    private static final String CLIENT_KEYSTORE_PATH = System.getProperty("user.dir") + "\\client_key.p12";
    // 使用keytool生成证书文件时填写的密码
    private static final String SERVER_KEYSTORE_PASSWORD = "abcdef";
    // 使用keytool生成的服务端证书文件路径
    private static final String SERVER_KEYSTORE_PATH = System.getProperty("user.dir") + "\\server.keystore";

    
    public static void main(String[] args) throws Exception {
        
        ConnectionFactory factory = new ConnectionFactory();
        factory.setHost(ADDRESS);
        factory.setPort(PORT);
        factory.setUsername(USERNAME);
        factory.setPassword(PASSWORD);
        
        // 启用SSL\TLS
        KeyStore ks = KeyStore.getInstance("PKCS12");
        ks.load(new FileInputStream(CLIENT_KEYSTORE_PATH), CLIENT_KEYSTORE_PASSWORD.toCharArray());
        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(ks, CLIENT_KEYSTORE_PASSWORD.toCharArray());
        
        KeyStore tks = KeyStore.getInstance("JKS");
        tks.load(new FileInputStream(SERVER_KEYSTORE_PATH), SERVER_KEYSTORE_PASSWORD.toCharArray());
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
        tmf.init(tks);
          
        SSLContext ctx = SSLContext.getInstance("TLSv1.2");
        ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
        
        factory.useSslProtocol(ctx);
        
        // 发送消息,测试连接
        Connection connection = factory.newConnection();
        Channel channel = connection.createChannel();
        channel.queueDeclare(QUEUE_NAME, false, false, false, null);
        
        byte[] message = ("test message").getBytes();
        channel.basicPublish(DEFAULT_EXCHANGE, QUEUE_NAME, null, message);
                
        channel.close();
        connection.close();
    }
}
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869


7.3 C#客户端
  由于使用tls-gen生成证书时,是自己作为CA进行签名的,需将CA的证书导入受信任的根证书颁发机构。
  运行“certmgr.msc”:

  将testca/cacert.cer文件导入受信任的根证书颁发机构:

  证书导入后如下:

  C#客户端如下:
public class Sender
{
    // RabbitMQ服务端地址、端口、用户名、密码
    private const string ADDRESS = "10.176.64.227";
    private const int PORT = 5671;
    private const string USERNAME = "mqtester";
    private const string PASSWORD = "mqtester";

    private const string DEFAULT_EXCHANGE = "";
    private const string QUEUE_NAME = "Queue_C#";

    // 使用tls-gen生成证书的服务器的主机名,该值必须填写正确
    private const string SERVER_NAME = "centos7";
    // 客户端证书文件client_key.p12路径
    private const string CLIENT_CERT_PATH = "F:\\client_key.p12";
    // 使用tls-gen工具生成证书文件时设置的私钥密码
    private const string CLIENT_CERT_PASSWORD = "123456";

    public static void Main(string[] args)
    {
        var factory = new ConnectionFactory()
        {
            HostName = ADDRESS,
            Port = PORT,
            UserName = USERNAME,
            Password = PASSWORD,
        };
        // 启用SSL\TLS
        factory.Ssl.ServerName = SERVER_NAME;
        factory.Ssl.CertPath = CLIENT_CERT_PATH;
        factory.Ssl.CertPassphrase = CLIENT_CERT_PASSWORD;
        factory.Ssl.Enabled = true;

        // 发送消息,测试连接
        using (var connection = factory.CreateConnection())
        {
            using (var channel = connection.CreateModel())
            {
                channel.QueueDeclare(QUEUE_NAME, false, false, false, null);
                byte[] message = Encoding.UTF8.GetBytes("test message");
                channel.BasicPublish(DEFAULT_EXCHANGE, QUEUE_NAME, null, message);
            }
        }
    }
}

使用SSL配置RabbitMQ
EvktJava的博客
09-22 410
通过使用SSL(Secure Sockets Layer,安全套接字层)协议,我们可以对RabbitMQ进行加密和身份验证,确保消息在传输过程中的安全性。通过使用SSL(Secure Sockets Layer,安全套接字层)协议,我们可以对RabbitMQ进行加密和身份验证,确保消息在传输过程中的安全性。通过这样的配置,你现在可以在RabbitMQ中使用SSL进行加密和身份验证,以确保消息传输的安全性。通过这样的配置,你现在可以在RabbitMQ中使用SSL进行加密和身份验证,以确保消息传输的安全性。
RabbitMq配置ssl
m178643的博客
11-01 3036
RabbitMq配置ssl生成证书生成证书签发机构生成服务端公钥,和私钥生成客户端公钥,和私钥生成客户端需要的证书证书生成结束步骤检查修改RabbitMQSSL配置重启rabbitmq服务 接下来会简述证书生成,ssl端口开放 ##下载SSL证书生成器 git clone https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git 生成证书 cd CMF-AMQP-Configuration/ssl 配置当前目录下的openssl
RabbitMQ 安全性
最新发布
Flying_Fish_roe的博客
09-27 744
在现代分布式系统中,消息队列是关键的通信基础设施,通常传递着敏感数据。为了确保数据安全,RabbitMQ 提供了一系列安全功能来保护系统免受未经授权的访问、数据篡改和泄露的风险。这些功能涵盖了身份认证、访问控制、数据加密、网络隔离等多个方面,确保消息的机密性、完整性和可用性。
RabbitMQ设置SSL相关操作
一只没有脚的鸟
11-12 9299
相关文件 openssl.cnf 文件配置 [ ca ] default_ca = testca [ testca ] ...
RabbitMQ配置SSL
奔跑的斑马的博客
07-05 1207
进入宿主机下~/rabbitmq/etc/rabbitmq/ssl目录,确定cacert.pem、rabbit-server.cert.pem、rabbit-server.key.pem的读写权限。docker logs -f rabbitmq 看到日志内以下内容说明配置成功。通过刚才创建的用户rabbit访问管理员页面http://ip:15672。拷贝需要的证书到~/rabbitmq/etc/rabbitmq/ssl下。默认的guest用户不能远程访问,因此需要创建一个可以远程访问的用户。
rabbitmq集群开启ssl
weixin_42562106的博客
04-20 1783
helm install ops --set persistence.storageClass=openebs-hostpath \ --set clustering.forceBoot=true \ --set replicaCount=3 \ --set persistence.size=1Gi \ --set auth.tls.enabled=true \ --set auth.tls.autoGenerated=true \ --set auth.tls.failIfNoPeerCer.
RabbitMQ消息队列网络安全指南SSL_TLS加密与访问控制
RabbitMQ消息队列概述 ## 1.1 什么是消息队列 消息队列(Message Queue)是一种应用间通信的方式,用于在应用系统之间传递消息。通过将消息发送到队列中,不同的应用程序可以异步地通信,提高系统的可伸缩性和...
RabbitMQ实战指南
读者将学习如何设置用户权限,使用SSL/TLS加密通信,以及如何集成RabbitMQ与其他监控工具(如Prometheus或Grafana)以确保系统的稳定运行。 此外,书中还涵盖了RabbitMQ与多种编程语言的集成,如Python、Java、Ruby...
【Python安全网络服务构建指南】:SSL_TLS应用详解
[【Python安全网络服务构建指南】:SSL_TLS应用详解](https://www.digicert.com/content/dam/digicert/nl/images/resources/what-are-ssl-diagram1-nl.png) # 1. 网络服务与安全基础 在现代互联网技术的演进中,...
RabbitMQ安装包下载指南
RabbitMQ提供多种安全机制,如TLS/SSL加密通信、用户名和密码认证、虚拟主机(Virtual Hosts)隔离、权限控制和访问控制列表(ACLs)等。正确配置这些安全性选项对于保护系统和数据安全至关重要。 以上内容涵盖了...
RabbitMQ配置SSL
皓月如我的专栏
11-15 1791
在开发环境下生成为RabbitMQ配置SSL
rabbitmq 配置安全加密的ssl连接
zhujun2008的博客
09-28 2363
Greyfoss 为自定义的证书签发机构名称,该脚本会生成一个ca目录,存储证书颁发机构的信息以及签发的证书# 生成服务端公钥和私钥 rabbit-server为生成的密钥前缀 123456为该秘钥自定义的密码# 生成客户端公钥和私钥#使用java的keytool工具生成客户端需要的证书,用以支持服务端和客户端进行通信,生成该证书需要提前安装配置java环境,此处默认已正确安装java环境-import 将已签名数字证书导入密钥库。
RabbitMQ 服务器启用 SSL/TLS
serene的博客
02-18 1436
RabbitMQ 服务器启用 SSL/TLS。为了启用 TLS/SSL,我们需要证书/密钥对。 这可以借助 OpenSSL 为客户端和服务器生成自签名证书。
安装配置RabbitMQ(启动SSL)及测试案例
weixin_44366773的博客
12-01 3032
安装配置RabbitMQ(启动SSL)及测试案例一. RabbitMQ依赖环境及其安装1. 在Ubuntu中下载安装SSL2. 在ubuntu中安装RabbitMQ服务2.1 下载安装Erlang2.2 下载安装RabbitMQ服务二. RabbitMQ服务配置1. 开启RabbitMQ web端管理界面2. 配置监听支持SSL的端口2.1 生成证书2.2 修改RabbitMQ的配置文件(开启SSL)三. 简单测试RabbitMQ(支持SSL)是否配置成功3.1 验证RabbitMQ服务端是否配置成功3.2
RabbitMQ 配置 SSL/TSL
a15940835457的博客
04-10 2560
第一步,创建文件夹 mkdir rmpca cd rmqca mkdir certs private chmod 700 private echo 01 > serial touch index.txt 第二步,在rmpca文件夹下创建【openssl.cnf】文件。因为-config参数要指定req的配置文件,指定后将忽略所有的其他配置文件。如果不指定则默认使用/etc/pki/tl...
rabbitmq ssl 配置与测试
Lity_Fish的博客
11-25 1203
生成ssl证书 克隆tls-gen库 $ git clone https://github.com/michaelklishin/tls-gen.git $ cd tls-gen/basic 生成root ca及相关证书 $ PASSWORD=bunnies make (设置证书密码,并生成证书) $ ls -lha ./result (ca, server, client...
centos6.9 rabbitmq设置SSL
shykevin的博客
02-13 303
一、概述 由于安全团队要求,需要给rabbitmq加上SSLjava代码使用ssl秘钥进行连接。 二、正式部署 环境说明: 操作系统 ip 主机名 配置 rabbitmq版本 centos 6.9 192.168.31.7 mq_01 1核2g 3.8.2 centos 6.9 192.168.31.216 mq_02...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值