RabbitMQ 支持TLS

RabbitMQ内置了对TLS的支持。

本文覆盖了RabbitMQ中与TLS相关的各种主题，重点是客户端连接：

• 使用TLS进行客户端连接的两种方式：直接或者通过TLS终端代理
• TLS支持的Erlang/OTP要求
• 在RabbitMQ中启用TLS
• 如何使用tls-gen或者手动为开发和QA环境生成自签名证书
• Java和.NET客户端中的TLS配置
• 客户端连接或相互（“mTLS”）的对等（证书链）验证
• 与RabbitMQ相关的用药使用扩展
• 如何控制启用的TLS版本和密码套件
• TLSv1.3支持
• 可用于评估TLS设置的工具
• 对TLS的已知攻击及其缓解措施
• 如何使用私钥密码

可以为RabbitMQ支持的所有协议启用TLS，不仅仅本章重点介绍的AMQP 0-9-1，HTTP API，节点间和CLI工具也可以配置为使用TLS

使用RabbitMQ进行客户端连接的TLS常用方法

对于客户端连接，有两种常见的方法：

• 配置RabbitMQ以处理TLS连接
• 使用代理或者负载均衡器（如HAproxy）来执行客户端连接的TLS终止，并使用普通的TCP连接到RabbitMQ节点

这两种方法都有效，各有利弊。本章将重点放在第一种上面，但是部分仍然与第二个相关

TLS支持Erlang/OTP要求

为了支持TLS连接，RabbitMQ需要在Erlang/OTP安装中提供TLS和加密相关模块。与TLS一起使用的推荐Erlang/OTP版本是最新支持的Erlang版本。早期版本，即使他们支持，也可能适用于大多数证书，但有已知的限制。

已知的不兼容性和限制

如果预计使用椭圆曲线加密（ECC）密码套件，强烈建议使用最近受支持的Erlang版本。早期版本在ECC支持方面存在已知的限制。

TLS基础：证书办法机构、证书、密钥

TLS是一个庞大且复杂的主题。在介绍如何在RabbitMQ中启用TLS之前，有必要简要介绍一下本文中使用的一些概念。

TLS有两个主要的目标：加密连接并提供一种对对等方进行身份认证（验证）以防止中间人攻击的方法。两者都是使用一组称为公钥基础设施（PKI）的角色、策略和程序来完成的。

PKI基于可以加密验证的数字身份的概念。这些身份成为证书或更准确的说是证书/密钥对。每个启用TLS的服务器通常都有自己的证书/密钥对，用于计算特定连接的密钥，这将用于加密连接传输中的内容。此外，如果被询问，它可以将其证书（公钥）提供给连接的对方。客户端可能也没用自己的证书。在消息传递和RabbitMQ等工