rabbitmq ssl 配置与测试

最新推荐文章于 2025-02-14 17:47:30 发布
最新推荐文章于 2025-02-14 17:47:30 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: devops 文章标签: rabbitmq
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Lity_Fish/article/details/103238114
本文介绍如何使用tls-gen库生成SSL证书,并在RabbitMQ中配置使用这些证书进行安全通信的过程。通过创建并配置HelmRelease,部署RabbitMQ实例,并在实例中启用TLS,确保消息队列服务的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

生成ssl证书

克隆tls-gen库
$ git clone https://github.com/michaelklishin/tls-gen.git
$ cd tls-gen/basic

生成root ca及相关证书
$ PASSWORD=bunnies make    (设置证书密码,并生成证书)
$ ls -lha ./result         (ca, server, client证书都在里面)

验证证书
$ make verify

默认CN用的是hostname,也可以指定CN
$ CN=secure.mydomain.local PASSWORD=bunnies make

创建rabbitmq flux HelmRelease文件 rabbitmq.yaml:

---
apiVersion: flux.weave.works/v1beta1
kind: HelmRelease
metadata:
  name: rabbitmq
  namespace: default
  annotations:
    flux.weave.works/automated: "true"
spec:
  releaseName: rabbitmq
  chart:
    repository: http://mirror.azure.cn/kubernetes/charts/
    name: rabbitmq
    version: 6.7.4
  values:
    rabbitmq:
      username: admin
      password: admin
      extraPlugins: "rabbitmq_shovel rabbitmq_shovel_management rabbitmq_federation rabbitmq_federation_management"
      extraConfiguration: |-
        ssl_options.versions.1 = tlsv1.2
        ssl_options.versions.2 = tlsv1.1
      tls:
        enabled: true
        caCertificate: |-
          -----BEGIN CERTIFICATE-----
          MIIDRTCCAi2gAwIBAgIJAP5p2dgMPqDOMA0GCSqGSIb3DQEBCwUAMDExIDAeBgNV
          BAMMF1RMU0dlblNlbGZTaWduZWR0Um9vdENBMQ0wCwYDVQQHDAQkJCQkMB4XDTE5
          MTEyNTAzMzEzNVoXDTI5MTEyMjAzMzEzNVowMTEgMB4GA1UEAwwXVExTR2VuU2Vs
          ZlNpZ25lZHRSb290Q0ExDTALBgNVBAcMBCQkJCQwggEiMA0GCSqGSIb3DQEBAQUA
          A4IBDwAwggEKAoIBAQDbPzTi/ijn8v22YGIQXNE3YCvfwAxiCMC2gtbO7juHhmkL
          63Y2UBmtWw+aFmnqv1DNexS5tMvSmjx0pPs6jm7xRTMWwfM3l4L6gOy2UarQmmev
          D0bPDZ8VEegFaJ4tQJ1MjXPlHDgqhqrrD3oS1iPx2JmDsTgHtOaR5FYsAR+WiUlu
          djcFuLVISNH6UXcqjL/1UfcqivS/MaBHop3d4usAK6IE3MfyaSSxVFtlrIac0j/T
          b/xudv3G3sPJE/OITvoPK/Wieo6x6WX/caeJAF4OU+a+AQbyVTfotYvcaOjAlu2w
          01rBnNZtUGGtVmRUCedJUrJxUbtTNgxqxke2bUjFAgMBAAGjYDBeMAsGA1UdDwQE
          AwIBBjAdBgNVHQ4EFgQUZLGx4cV7OSSAIXn+c+CNj6SKteIwHwYDVR0jBBgwFoAU
          ZLGx4cV7OSSAIXn+c+CNj6SKteIwDwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0B
          AQsFAAOCAQEAnF9s1eFD/BA4V5EcsBUcFE/igJpYB009Uk0+RIY7u3AzHW1UBrJu
          +jLuF803Hi8IlNVqwmTiokwtjIVcHk9bOFk4D73Ix11pviQ5zrM4oIsUTpplToEC
          l+KSUAouEyrBeM+MKvHwMxJxNIQ++4O0ThplmpiyD9PLmjsJ3PqsFlbH/YctmSL7
          H08bHSx5T0t5FcYPyIiMMCIKl2RglgAY2868nGhokquiMX2Ohu9ChHBbRJR2OA/7
          8+xdKegozY5gT8/H8sFBo6+/h5A6Ceq+ek+JiNpgJqUs8CJNMiejACiBLbug6lwb
          NrckMtUV+roaKgByMTy/xVUOVJI4nr1YGw==
          -----END CERTIFICATE-----
        serverCertificate: |-
          -----BEGIN CERTIFICATE-----
          MIIDgDCCAmigAwIBAgIBATANBgkqhkiG9w0BAQsFADAxMSAwHgYDVQQDDBdUTFNH
          ZW5TZWxmU2lnbmVkdFJvb3RDQTENMAsGA1UEBwwEJCQkJDAeFw0xOTExMjUwMzMx
          MzZaFw0yOTExMjIwMzMxMzZaMCsxGDAWBgNVBAMMD01BQ0MwMlZXMjA5SFYyUjEP
          MA0GA1UECgwGc2VydmVyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
          58zrAwQlRQtWgeItD7XApDIwXu2hS1JByyo/o4viwIIbC23onMUymZWn4q+NRgjG
          jrxo2kLK2zXiyUy8rvfgv3lDnirQpX49kXQzxpvEWqBPePIhBL8yrNMMwv9EDQfR
          NVk2yn2YH+i6ywnLVunueSNexLq0qFtI5l+6Fl9AZSF3aTF1BuNtol4qbjaFiLnK
          tWnderBBFldlNRrGiwJ1asNMhi2yTd8yFvwLWdmOudSKO9ThX7/6Lf+e86PKGQ0f
          mHpES0vcEtmNdseEbWlVLmXqToEY4gR2HLbKCUHRSb2MYFuHvAW5aiaHCEGpge+j
          JSlcEIvQe5BFGhtj7VnqywIDAQABo4GoMIGlMAkGA1UdEwQCMAAwCwYDVR0PBAQD
          AgWgMBMGA1UdJQQMMAoGCCsGAQUFBwMBMDYGA1UdEQQvMC2CD01BQ0MwMlZXMjA5
          SFYyUoIPTUFDQzAyVlcyMDlIVjJSgglsb2NhbGhvc3QwHQYDVR0OBBYEFGYJZwRV
          ofLs44nbc7zsGWMoO6CbMB8GA1UdIwQYMBaAFGSxseHFezkkgCF5/nPgjY+kirXi
          MA0GCSqGSIb3DQEBCwUAA4IBAQArTaXl8lq03f5HCtB6sqmNpsdfcji57KkPpnOO
          Fs0K4PVoyTFNfFkTHom0CM3OoPmDvruaVgGkfxaTUJug9N0aBoe52jcljasFFkAO
          41GhKjl8Mg/u7lrbveO/lC1du//PiXI7za6T/CfKZusPzBJnLfVQFSwEXnOROYn+
          umhbVUqldq63ZlkUDg7ZqjLe4T6l+Ecbu+2NK9KmsabTMZNLEVC1aCVuQSgoNb1V
          d8dYt05LHGmkkmgu435YJe/hJx8DSXcRaVHkX6x8Kopgd3yoR9dY8QbisD4OBWwv
          MDCOe2EqAIn6ZH82C7bg4v6A4P82y1qOHkA1ZEK3L+amypcO
          -----END CERTIFICATE-----
        serverKey: |-
          -----BEGIN RSA PRIVATE KEY-----
          MIIEpQIBAAKCAQEA58zrAwQlRQtWgeItD7XApDIwXu2hS1JByyo/o4viwIIbC23o
          nMUymZWn4q+NRgjGjrxo2kLK2zXiyUy8rvfgv3lDnirQpX49kXQzxpvEWqBPePIh
          BL8yrNMMwv9EDQfRNVk2yn2YH+i6ywnLVunueSNexLq0qFtI5l+6Fl9AZSF3aTF1
          BuNtol4qbjaFiLnKtWnderBBFldlNRrGiwJ1asNMhi2yTd8yFvwLWdmOudSKO9Th
          X7/6Lf+e86PKGQ0fmHpES0vcEtmNdseEbWlVLmXqToEY4gR2HLbKCUHRSb2MYFuH
          vAW5aiaHCEGpge+jJSlcEIvQe5BFGhtj7VnqywIDAQABAoIBAQCRJTpfWCAyPKg9
          ii+nL6rh5d9uAaRG8snp+pmAwh4JZy6iGH9Ycw59Jz3J7x0qJmKWjBmn2b0GSJaq
          b9eSQ/rCSp9xkeO2TPcmdjnZej4YdVtuI0dTnpmPqFPMYmTtN+DjY+qwHra7/FHC
          w25FDRRbXC+CRlrLNOXQA08VpS1AZOQibHke2FvAAvdtOpUrGzAxswKhyeEl99YW
          vATkM8z/t91F2gC7wJ4zYGicyRPPCgd0cOvJQoKVQYRy7jN/AonU4wDDEH0nMbjH
          cETbk47edkzHuACzmhShMG8j73oo0FR2TgVz62sGGfSWQHIzKig4jEGV4Jv6xpKB
          BhFQuRA5AoGBAPnSNEhc2knVuH+GboPdvMtoi/6AjYTSWKuLK/9K7F0106o7VXgJ
          n4ieAIMi05oQbhyl0xbx8X+TQ+jWmcDINFEYcfCcIPOg+Syr3qaL6i/Ylz+gJmjq
          Ja6dlEz6HwZIr3etWR7hWFjI3Q5StR39QbFBsOEjGDug/2qwe4AUoxT1AoGBAO2I
          nLick6aWtnodWWl0vO8/+IzOzSvxsY61sPJnw34Jf/TZ97VhZEZT55nTCcUTUIQk
          AA4ZwA6Yr7xZUmKdiKVUw9BrCBjZfR1n4gvjmkRe1tmOKoZ5Rac31kxl9mtoMg+9
          +sG5mk0Z2q6GhLnCP75OXd+E1AUSWFORkI3iayi/AoGBAJddAUiG2cu6rlq1/Ofw
          xZ8I7Sl6gkRjnk3xuOqpXqTrJCAUayibzAlekjjiNQs3wT+iSU+xr/z4IUFGJUpl
          Ay3Pfdmm/2AdvFuQlwqZ436x4JIwWpVeqQ4vc9dgBMQt7gK5CTJonrrMmQNAoXRW
          KiNYBe+i79/RIHBoFav41QaxAoGARorGuFDPzK5/nL5wmk/v+EGQSAj2h7FsoMw2
          s5a7SQf7NzUwSm6VAAnVAyrYgO2egM/MMGPXVL5lmlMQk3bjaO5GhPP0YKTeckgy
          qoM6gkmEFvIQkQUc+W8stl2lk/pKu8AY40WCnJksB56tdhlJIvRVDpd8+9CZ6J+X
          RXvThTMCgYEAlE1e0fG9fN2DCFpPk1FfOW20XeayRmkOw7YkLYLkn3iBnAbyLpQb
          KBnKzmDyV43kJKlm5UYL4nORj+kRp6bEPmwEIEtUGHunM/oIUwl/B7qwEqCDjR4h
          RVwaVkTk7se1gItw67b3uNCHdN6Dd5Gjhv54ezhMYnI2rTYv4U1pSqA=
          -----END RSA PRIVATE KEY-----
    resources:
      requests:
        cpu: 100m
        memory: 256Mi
    replicas: 1
    metrics:
      enabled: true
    volumePermissions:
      enabled: true
    persistence:
      enabled: true
    ingress:
      enabled: true
      annotations:
        nginx.ingress.kubernetes.io/rewrite-target: /$2
      path: /rabbitmq(/|$)(.*)

提交代码到个人的 Flux Repo

手动触发flux同步

$ fluxctl sync --k8s-fwd-ns flux

检查rabbitmq运行状态

$ kubectl get pod rabbitmq-0
NAME         READY   STATUS    RESTARTS   AGE
rabbitmq-0   2/2     Running   2          4h10m

创建测试脚本目录
$ mkdir test_scripts
$ cd test_scripts

拷贝ssl证书
$ mkdir ssl
$ cp ./result/{ca_certificate.pem,client_certificate.pem,client_key.pem} ssl/

创建发送端send.go:

package main

import (
	"crypto/tls"
	"crypto/x509"
	"io/ioutil"
	"log"

	"github.com/streadway/amqp"
)

func failOnError(err error, msg string) {
	if err != nil {
		log.Fatalf("%s: %s", msg, err)
	}
}

// 只能在安装 rabbitmq 的服务器上操作
func main() {
	cfg := new(tls.Config)
	cfg.RootCAs = x509.NewCertPool()

	if ca, err := ioutil.ReadFile("ssl/ca_certificate.pem"); err == nil {
		cfg.RootCAs.AppendCertsFromPEM(ca)
	} else {
		failOnError(err, "Failed to append ca")
	}

	if cert, err := tls.LoadX509KeyPair("ssl/client_certificate.pem", "ssl/client_key.pem"); err == nil {
		cfg.Certificates = append(cfg.Certificates, cert)
	} else {
		failOnError(err, "Failed to append client cert")
	}

	conn, err := amqp.DialTLS("amqps://admin:admin@localhost:5671/", cfg)
	failOnError(err, "Failed to connect to RabbitMQ")
	defer conn.Close()

	ch, err := conn.Channel()
	failOnError(err, "Failed to open a channel")
	defer ch.Close()

	q, err := ch.QueueDeclare(
		"hello", // name
		false,   // durable
		false,   // delete when unused
		false,   // exclusive
		false,   // no-wait
		nil,     // arguments
	)
	failOnError(err, "Failed to declare a queue")

	body := "Hello World!"
	err = ch.Publish(
		"",     // exchange
		q.Name, // routing key
		false,  // mandatory
		false,  // immediate
		amqp.Publishing{
			ContentType: "text/plain",
			Body:        []byte(body),
		})
	log.Printf(" [x] Sent %s", body)
	failOnError(err, "Failed to publish a message")
}

创建接收端recv.go:

package main

import (
	"crypto/tls"
	"crypto/x509"
	"io/ioutil"
	"log"

	"github.com/streadway/amqp"
)

func failOnError(err error, msg string) {
	if err != nil {
		log.Fatalf("%s: %s", msg, err)
	}
}

// 只能在安装 rabbitmq 的服务器上操作
func main() {
	cfg := new(tls.Config)
	cfg.RootCAs = x509.NewCertPool()

	if ca, err := ioutil.ReadFile("ssl/ca_certificate.pem"); err == nil {
		cfg.RootCAs.AppendCertsFromPEM(ca)
	} else {
		failOnError(err, "Failed to append ca")
	}

	if cert, err := tls.LoadX509KeyPair("ssl/client_certificate.pem", "ssl/client_key.pem"); err == nil {
		cfg.Certificates = append(cfg.Certificates, cert)
	} else {
		failOnError(err, "Failed to append client cert")
	}

	conn, err := amqp.DialTLS("amqps://admin:admin@localhost:5671/", cfg)
	failOnError(err, "Failed to connect to RabbitMQ")
	defer conn.Close()

	ch, err := conn.Channel()
	failOnError(err, "Failed to open a channel")
	defer ch.Close()

	q, err := ch.QueueDeclare(
		"hello", // name
		false,   // durable
		false,   // delete when unused
		false,   // exclusive
		false,   // no-wait
		nil,     // arguments
	)
	failOnError(err, "Failed to declare a queue")

	msgs, err := ch.Consume(
		q.Name, // queue
		"",     // consumer
		true,   // auto-ack
		false,  // exclusive
		false,  // no-local
		false,  // no-wait
		nil,    // args
	)
	failOnError(err, "Failed to register a consumer")

	forever := make(chan bool)

	go func() {
		for d := range msgs {
			log.Printf("Received a message: %s", d.Body)
		}
	}()

	log.Printf(" [*] Waiting for messages. To exit press CTRL+C")
	<-forever
}

运行测试脚本

打开一个终端窗口
$ go run send.go

打开另一个终端窗口
$ go run recv.go
Java安全编程:RabbitMQSSL_TLS加密配置
AI开发架构师
06-24 932
在金融、医疗、政务等对数据安全要求极高的领域,消息队列(如RabbitMQ)传输的用户隐私、交易数据一旦被截获,后果不堪设想。本文聚焦「Java环境下RabbitMQSSL/TLS加密配置」,覆盖从证书生成、服务器配置到Java客户端代码实现的全流程,解决「如何让RabbitMQ消息从明文裸奔变加密传输」的核心问题。本文先通过「快递寄秘密信件」的故事理解SSL/TLS加密原理,再拆解RabbitMQSSL配置核心概念(证书、密钥库、信任库),接着用Java代码演示客户端配置,最后通过实战验证加密效果。
RabbitMQ指南(七) SSL\TLS通信
青晨的歌
11-06 4245
RabbitMQ指南(七) SSL\TLS通信7.1 证书生成和配置7.2 Java客户端7.3 C#客户端 7.1 证书生成和配置   RabbitMQ对外提供服务时,为保证通信的安全性,通常使用SSL/TLS加密通信。   关于非对称加密、SSL\TLS协议、证书授权中心(Certificate Authority,CA)可参考其他资料,本文仅演示RabbitMQ SSL\TLS通信的具体操作...
RabbitMQ设置SSL相关操作
一只没有脚的鸟
11-12 9435
相关文件 openssl.cnf 文件配置 [ ca ] default_ca = testca [ testca ] ...
RabbitMQ配置SSL
奔跑的斑马的博客
07-05 1335
进入宿主机下~/rabbitmq/etc/rabbitmq/ssl目录,确定cacert.pem、rabbit-server.cert.pem、rabbit-server.key.pem的读写权限。docker logs -f rabbitmq 看到日志内以下内容说明配置成功。通过刚才创建的用户rabbit访问管理员页面http://ip:15672。拷贝需要的证书到~/rabbitmq/etc/rabbitmq/ssl下。默认的guest用户不能远程访问,因此需要创建一个可以远程访问的用户。
RabbitMq配置ssl
m178643的博客
11-01 3337
RabbitMq配置ssl生成证书生成证书签发机构生成服务端公钥,和私钥生成客户端公钥,和私钥生成客户端需要的证书证书生成结束步骤检查修改RabbitMQSSL配置重启rabbitmq服务 接下来会简述证书生成,ssl端口开放 ##下载SSL证书生成器 git clone https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git 生成证书 cd CMF-AMQP-Configuration/ssl 配置当前目录下的openssl
使用SSL配置RabbitMQ
EvktJava的博客
09-22 564
通过使用SSL(Secure Sockets Layer,安全套接字层)协议,我们可以对RabbitMQ进行加密和身份验证,确保消息在传输过程中的安全性。通过使用SSL(Secure Sockets Layer,安全套接字层)协议,我们可以对RabbitMQ进行加密和身份验证,确保消息在传输过程中的安全性。通过这样的配置,你现在可以在RabbitMQ中使用SSL进行加密和身份验证,以确保消息传输的安全性。通过这样的配置,你现在可以在RabbitMQ中使用SSL进行加密和身份验证,以确保消息传输的安全性。
java Rabbitmq ssl 安全连接详细流程(附图)
weixin_39427718的博客
10-20 3732
Rabbitmq ssl 安全连接流程1 生成证书2 配置服务端3 编辑java客户端 1 生成证书 git clone https://github.com/michaelklishin/tls-gen tls-gen 执行生成命令 cd tls-gen/basic 执行make命令(如提示make命令不存在,请安装python3,同时请确保已存在openssl,可通过openssl命令,如进入命令行,则表示存在,123456为后续加载服务端证书和客户端证书的密码) make PASSWORD=1
springboot rabbitmq ssl
08-28
以下是配置 Spring Boot 应用程序以启用 SSLRabbitMQ 服务器通信的基本步骤: 1. **安装证书**:首先,你需要从 RabbitMQ 官方获取 CA (Certificate Authority) 或者自签发的 SSL 证书,并将其放在适当的位置...
RabbitMQ配置SSL
皓月如我的专栏
11-15 2194
在开发环境下生成为RabbitMQ配置SSL
IBMMQ配置SSL连接
08-30
手把手教你怎么配置IBM WEBSPHERE MQ通过SSL连接,附详细步骤和实例代码
centos6.9 rabbitmq设置SSL
shykevin的博客
02-13 336
一、概述 由于安全团队要求,需要给rabbitmq加上SSL,java代码使用ssl秘钥进行连接。 二、正式部署 环境说明: 操作系统 ip 主机名 配置 rabbitmq版本 centos 6.9 192.168.31.7 mq_01 1核2g 3.8.2 centos 6.9 192.168.31.216 mq_02...
RabbitMQ配置SSL证书
最新发布
Addery的学习日常
02-14 1360
RabbitMQ配置SSL证书
RabbitMQ 配置 SSL/TSL
a15940835457的博客
04-10 2774
第一步,创建文件夹 mkdir rmpca cd rmqca mkdir certs private chmod 700 private echo 01 > serial touch index.txt 第二步,在rmpca文件夹下创建【openssl.cnf】文件。因为-config参数要指定req的配置文件,指定后将忽略所有的其他配置文件。如果不指定则默认使用/etc/pki/tl...
rabbitmq集群开启ssl
weixin_42562106的博客
04-20 1840
helm install ops --set persistence.storageClass=openebs-hostpath \ --set clustering.forceBoot=true \ --set replicaCount=3 \ --set persistence.size=1Gi \ --set auth.tls.enabled=true \ --set auth.tls.autoGenerated=true \ --set auth.tls.failIfNoPeerCer.
rabbitmq 配置安全加密的ssl连接
zhujun2008的博客
09-28 2637
Greyfoss 为自定义的证书签发机构名称,该脚本会生成一个ca目录,存储证书颁发机构的信息以及签发的证书# 生成服务端公钥和私钥 rabbit-server为生成的密钥前缀 123456为该秘钥自定义的密码# 生成客户端公钥和私钥#使用java的keytool工具生成客户端需要的证书,用以支持服务端和客户端进行通信,生成该证书需要提前安装配置java环境,此处默认已正确安装java环境-import 将已签名数字证书导入密钥库。
安装带SSLrabbitmq
fhzhu830的博客
10-05 694
之前弄的安装带SSLrabbitmq,有两种方式,下面记录一下。 一、Docker安装rabbitmq操作步骤: 1. 安装docker; 2. 拉取rabbitmq镜像: (1)docker pull rabbitmq:management 3. 启动rabbitmq容器 (1)方式一:先启动容器,再将配置文件拷贝到容器内,再重启容器 1)docker run -d -p 5672:5672 -p 15672:15672 -p 5671:5671 --name rabbitmq rabbi
rabbitmq连接认证_RabbitMQ配置使用SSL加密通信
weixin_28678517的博客
12-29 3163
测试环境ubuntu 16.04rabbitmq-server 3.5.7openssl 1.0.2g安装openssl1sudo apt-get install openssl生成证书从网络获取生成证书工具:1git clone https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git && cd CMF-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值