RabbitMQ設定SSL相關操作

阿新 • • 發佈：2018-12-01

相關檔案

openssl.cnf 檔案配置

[ ca ]                                                     
default_ca = testca                                        

[ testca ]                                                 
dir = .                                                    
certificate = $dir/cacert.pem                              
database = $dir/index.txt                                  
new_certs_dir = $dir/certs                                 
private_key = $dir/private/cakey.pem                       
serial = $dir/serial                                       

default_crl_days = 7                                       
default_days = 10950                                         
default_md = sha1                                          

policy = testca_policy                                     
x509_extensions = certificate_extensions                   

[ testca_policy ]                                          
commonName = supplied                                      
stateOrProvinceName = optional                             
countryName = optional                                     
emailAddress = optional                                    
organizationName = optional                                
organizationalUnitName = optional                          

[ certificate_extensions ]                                 
basicConstraints = CA:false                                

[ req ]                                                    
default_bits = 2048                                        
default_keyfile = ./private/cakey.pem                      
default_md = sha1                                          
prompt = yes                                               
distinguished_name = root_ca_distinguished_name            
x509_extensions = root_ca_extensions                       

[ root_ca_distinguished_name ]                             
commonName = hostname                                      

[ root_ca_extensions ]                                     
basicConstraints = CA:true                                 
keyUsage = keyCertSign, cRLSign                            

[ client_ca_extensions ]                                   
basicConstraints = CA:false                                
keyUsage = digitalSignature                                
extendedKeyUsage = 1.3.6.1.5.5.7.3.2                       

[ server_ca_extensions ]                                   
basicConstraints = CA:false                                
keyUsage = keyEncipherment                                 
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

生成ca檔案,指令碼(setup_ca.sh)內容如下:

#!/bin/bash

hr="-------------------------------------------"
br=""
strength=2048
valid=10950	

message="Usage:  sh setup_ca.sh [certificate authority CN]"

if [ $# -ne 1 ];
then
	echo $message
	exit 2
fi

if [ $1 = "--help" ];
then
	echo $message
	exit 2
fi

certauthCN= 
$1

export OPENSSL_CONF=../openssl.cnf

if [ ! -d ./ca/ ];
then
	echo "Creating folder: ca/"
	mkdir ca
	echo "Creating folder: ca/private/"
	mkdir ca/private
	echo "Creating folder: ca/certs/"
	mkdir ca/certs
	echo "Creating folder: ca/serial"
	echo "01" > ca/serial
	echo "Creating file: ca/index.txt"
	touch ca/index.txt
fi 


cd ca

openssl req -x509 -newkey rsa:$strength -days $valid -out cacert.pem -outform PEM -subj /CN=$certauthCN/ -nodes

openssl x509 -in cacert.pem -out cacert.cer -outform DER

cd ..

生成伺服器證書,指令碼(make_server_cert.sh)內容如下:

#!/bin/bash

hr="-------------------------------------------"
br=""
strength=2048
valid=10950	

message="Usage:  sh make_server_cert.sh [server name] [PKCS12 password]"

if [ $# -ne 2 ];
then
	echo $message
	exit 2
fi

if [ $1 = "--help" ];
then
	echo $message
	exit 2
fi

sname=$1
password=$2

export OPENSSL_CONF=../openssl.cnf

if [ ! -d ./server/ ];
then
	echo "Creating Server folder: server/"
	mkdir server
fi

cd server

echo "Generating key.pem"

openssl genrsa -out key.pem $strength

echo "Generating req.pem"

openssl req -new -key key.pem -out req.pem -outform PEM -subj /CN=$sname/O=server/ -nodes

cd ../ca

echo "Generating cert.pem"

openssl ca -in ../server/req.pem -out ../server/cert.pem -notext -batch -extensions server_ca_extensions

cd ../server

echo "Generating keycert.p12"

openssl pkcs12 -export -out keycert.p12 -in cert.pem -inkey key.pem -passout pass:$password

cd ..

生成客戶端證書,指令碼(create_client_cert.sh)內容如下:

#!/bin/bash

hr="-------------------------------------------"
br=""
strength=2048
valid=10950	

message="Usage:  sh create_client_cert.sh [client name] [PKCS12 password]"

if [ $# -ne 2 ];
then
	echo $message
	exit 2
fi

if [ $1 = "--help" ];
then
	echo $message
	exit 2
fi

cname=$1
password=$2

export OPENSSL_CONF=../openssl.cnf

if [ ! -d ./client/ ];
then
	echo "Creating folder: client/"
	mkdir client
fi

cd client

echo "Generating key.pem"

openssl genrsa -out key.pem $strength

echo "Generating req.pem"

openssl req -new -key key.pem -out req.pem -outform PEM -subj /CN=$cname/O=client/ -nodes

cd ../ca

echo "Generating cert.pem"

openssl ca -in ../client/req.pem -out ../client/cert.pem -notext -batch -extensions client_ca_extensions

cd ../client

echo "Generating keycert.p12"

openssl pkcs12 -export -out keycert.p12 -in cert.pem -inkey key.pem -passout pass:$password

cd ..

步驟:

我這裡以Linux為例,目錄是/usr. 寫一下步驟

首先開啟/usr,建立一個資料夾

mkdir testca

拷貝上面所有shell指令碼,然後分步驟執行:

#引數是證書頒發機構名
sh setup_ca.sh MyRabbitMQSSL
 
#生成伺服器證書, 第一個引數是伺服器名，第二個引數是密碼
sh make_server_cert.sh rabbit-server rabbit

#生成客戶端證書,第一個引數是客戶端名稱，第二個引數是密碼
sh create_client_cert.sh rabbit-client  rabbit

keytool匯入證書

keytool -import -alias rabbit-server -file ./server/cert.pem -keystore trustStore -storepass rabbit

此時會提示是否匯入證書,輸入y或者是,然後回車

刪除之前匯入過的證書,別名為 rabbit-server

keytool -delete -alias rabbit-server -keystore trustStore -storepass rabbit

配置rabbitmq

vi $rabbitmq_home/etc/rabbitmq/rabbitmq.config

檔案內容如下:

%% Disable SSLv3.0 and TLSv1.0 support.
[
    {ssl, [{versions, ['tlsv1.2', 'tlsv1.1']}]},
    {rabbit, [
        {tcp_listeners, [5672]},
        {ssl_listeners, [5671]},
        {ssl_options, [{cacertfile,"/usr/testca/ca/cacert.pem"},
            {certfile,"/usr/testca/server/cert.pem"},
            {keyfile,"/usr/testca/server/key.pem"},
            {verify, verify_peer},
            {fail_if_no_peer_cert, true},
            {versions, ['tlsv1.2', 'tlsv1.1']}
        ]}
    ]}
].

儲存.

重啟rabbitmq.

#關閉服務
rabbitmqctl stop
#啟動服務
rabbitmq-server -detached
#檢視狀態
rabbitmqctl status

編寫java測試類

import com.rabbitmq.client.Channel;  
import com.rabbitmq.client.Connection;  
import com.rabbitmq.client.ConnectionFactory;  
import com.rabbitmq.client.GetResponse;  
  
import javax.net.ssl.KeyManagerFactory;  
import javax.net.ssl.SSLContext;  
import javax.net.ssl.TrustManagerFactory;  
import java.io.FileInputStream;  
import java.security.KeyStore;  
  
public class ValidatingCert{  
    public static void main(String[] args) throws Exception{
        char[] keyPassphrase = "rabbit".toCharArray();  //證書密碼
        KeyStore ks = KeyStore.getInstance("PKCS12");  
        ks.load(new FileInputStream("keycert.p12"), keyPassphrase);//把client目錄keycert.p12拷貝到專案裡面
        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");  
        kmf.init(ks, keyPassphrase);  
  
        char[] trustPassphrase = "rabbit".toCharArray();  //證書密碼
        KeyStore tks = KeyStore.getInstance("JKS");  
        tks.load(new FileInputStream("trustStore"), trustPassphrase);//把/usr/testca/目錄的trustStore拷貝到專案裡面
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");  
        tmf.init(tks);
        SSLContext c = SSLContext.getInstance("TLSv1.1");  
        c.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);  
  
        ConnectionFactory factory = new ConnectionFactory();  
        factory.setHost("192.168.0.111");//rabbitmq server
        factory.setPort(5671);
        factory.useSslProtocol(c); 
        Connection conn = factory.newConnection();  
        Channel channel = conn.createChannel(); 
        channel.queueDeclare("rabbitmq-queue", false, true, true, null); //rabbitmq-queue是rabbitmq佇列
        channel.basicPublish("", "rabbitmq-queue", null, "Test,Test".getBytes());
        GetResponse chResponse = channel.basicGet("rabbitmq-queue", false);  
        if (chResponse == null){  
            System.out.println("No message retrieved");  
        }else {  
            byte[] body = chResponse.getBody();  
            System.out.println("Recieved: " + new String(body));  
        }  
        channel.close();  
        conn.close();  
    }  
}

參考:
http://vstars.iteye.com/blog/2229409
https://github.com/Berico-Technologies/CMF-AMQP-Configuration/tree/master/ssl

RabbitMQ設定SSL相關操作

相關檔案 openssl.cnf 檔案配置 [ ca ] default_ca = testca

RabbitMQ原理與相關操作(二)

可能封裝由器主機 dea ron out 空間消息傳遞接著上篇隨筆增加幾個概念： RabbitMQ是一個在AMQP(高級消息隊列協議)標準基礎上完整的，可服用的企業消息系統。 AMQP模型的功能組件圖（上圖摘自 Sophia_tj 的第2章 AM

RabbitMQ原理與相關操作(三)消息持久化

fse -c 機制 mod 取數據 bsp gif 筆記本 png 現在聊一下RabbitMQ消息持久化：問題及方案描述 1.當有多個消費者同時收取消息，且每個消費者在接收消息的同時，還要處理其它的事情，且會消耗很長的時間。在此過程中可能會出現一些意外，比如消息接收到

postman 佈局設定及相關操作注意事項

今天遇到一個情況,就是postman佈局變化了,結果集到了右邊所以特此來寫一篇文章,順便介紹下postman的簡單使用總的介紹1.首先是請求方式post請求下設定請求方式是json格式的資料右邊send就是請求介面遇見的問題結果集到了右邊希望變到下

mysql設定指定ip訪問，使用者許可權相關操作

基礎語法 GRANT priv_type ON database.table TO user[IDENTIFIED BY [PASSWORD] 'password'] [,user [IDENTIFIED BY [PASSWORD] 'password']

如何在指令碼設定set -e之後捕獲異常並完成相關操作執行

背景：指令碼中設定set -e 遇到報錯即停止指令碼執行，取消set -e有可能會造成更大的錯誤，因此為了處理某個異常之後能夠繼續執行，給出以下解決辦法。說明：set -o xtrace 列印指令碼執行日誌。以一個例子來說明：刪除目錄下的某一個不存在的檔案然後再次檢

mysql5.7免安裝版的配置及編碼設定及資料庫的相關操作

1、首先在環境變數path中配置mysql的bin資料夾的路徑 2、新建my.ini檔案在裡面填上如下設定： [mysql] default-character-set = utf8 [mysql.server] default-character-set

在阿裏雲申請Symantec免費SSL證書操作流程

詳細二級域名 tle 文件 http aliyun 一段 dns 服務 2016年阿裏雲與國內證書頒發機構天威誠信推出了基於Symantec（賽門鐵克）的免費SSL證書，有需要免費SSL證書產品的可以前往阿裏雲進行申請。申請地址：阿裏雲雲盾證書服務—Symantec免費

10、自學——Linux的學習進度與任務【用戶和用戶組相關操作】

sha256 用戶授權 gpasswd upm 登錄 shel 默認不同管理用戶和用戶組相關操作用戶和用戶組定義：　　　　用戶：資源獲取標識符（資源分配），是安全權限模型的可信要素之一　　　　　用戶組：用戶組是指多個用戶的集合，方便對一類需要同樣權限的用戶授權

Linux下的簡單壓縮相關操作

spa code nbsp 內容需求分割線某個文件 blog pan 一、需求：壓縮/data到/tmp下操作： 1 [[email protected]/* */ /]# tar zcf /tmp/data.tar.gz data/

Django基礎篇之數據庫選擇及相關操作

setting 必須需要 mysql pyc -- creates 127.0.0.1 settings 在djanjo框架中我們最常用的框架分別就是mysql和sqlit了，下面我們將分別講述一下這倆種數據庫的基礎必備知識 mysql 一、利用命令創建（在終端上執行）

字符相關操作語法總結

show 復制填充動態數組 ive url strong dup pre System.FillChar - 填充字節舉例: var s: array[0..9] of Char; begin FillChar(s,SizeOf(s),‘a‘); Sho

列表以及相關操作、命令

增加值從右到左上一個 end 位置元素排序 ascii碼 append #_author:"ljk"#date: 2017/5/26# a = ["L0","L1","L2","L3","L4","L5"]#中括號表示列表#增刪改查#增，切片#想取 L1 L2#p

python 集合相關操作

查看 pan logs per ngx 返回值 sdi 字典 any 集合相關操作集合是一個無序的，不重復的數據組合，它有著兩個主要作用：去重以及關系測試。去重指的是當把一個列表變成了集合，其中重復的內容就自動的被去掉了關系測試指的是，測試兩組數據之間的交集、差集、並

Linux之時間相關操作20170607

命令集 linux fail max deb 推薦 time_t 利用 ucc 一、Linux常用時間相關函數 -asctime,ctime,getttimeofday,gmtime,localtime,mktime,settimeofday,time

快學Scala習題解答—第三章數組相關操作

ear toa its trac bre idt -a yield pos 3 數組相關操作 3.1 編寫一段代碼。將a設置為一個n個隨機整數的數組，要求隨機數介於0(包括)和n(不包括)之間 random和yield的使用 Scala代碼

關於Linq對DataTable和List各自的兩個集合篩選的相關操作技巧

linq per enume any rom opera 操作技巧得到數據集項目中用到了對兩個集合的帥選等操作，簡單總結下 1.Linq操作多個Datable 可以通過AsEnumerable()方法對DataTable進行Linq操作 //獲取數據表所有數據

Oracle的用戶、角色以及權限相關操作

連接數據庫創建用戶 opera pri count curry 操作密碼 pro 1、創建用戶create user KD identified by 123456;2、授予連接數據庫的權限grant connect to KD;3、將Scott用戶的emp表授權給KD

VM虛擬機redhat6克隆後網卡的相關操作

克隆網卡由於克隆虛擬機，vmware只是修改了虛擬機的名字等信息，並沒有修改虛擬硬盤中的任何信息，導致克隆後網卡的MAC地址和操作系統中記錄的mac地址不符，導致eth0啟動不起來。操作系統記錄了一個新網卡的添加，新網卡的名字eth1，mac地址就是vmware分配給的新的mac地址。解決方

【java反射】Class類型的相關操作演練

div gif display 演練 esp arguments 接口 hid col 【一】獲取範型接口的實現類的範型類型（1）範型接口 package org.springframework.context; import java.util.EventList

RabbitMQ設定SSL相關操作

相關檔案

步驟:

首先開啟/usr,建立一個資料夾

拷貝上面所有shell指令碼,然後分步驟執行:

keytool匯入證書

配置rabbitmq

重啟rabbitmq.

編寫java測試類

相關推薦