RabbitMQ指南(七) SSL\TLS通信

RabbitMQ指南(七) SSL\TLS通信

  • 7.1 证书生成和配置
  • 7.2 Java客户端
  • 7.3 C#客户端

7.1 证书生成和配置

  RabbitMQ对外提供服务时,为保证通信的安全性,通常使用SSL/TLS加密通信。
  关于非对称加密、SSL\TLS协议、证书授权中心(Certificate Authority,CA)可参考其他资料,本文仅演示RabbitMQ SSL\TLS通信的具体操作。对于生成证书,本文使用RabbitMQ官网推荐的tls-gen工具,该工具可在MacOS和Linux系统中使用,要求系统中装有openssl和Python 3.5以上版本。
  使用tls-gen生成证书:

# 下载,也可手工从以下网址下载后上传至服务器
git clone https://github.com/michaelklishin/tls-gen tls-gen
cd tls-gen/basic
# 123456是自定义的私钥密码,客户端会用到
make PASSWORD=123456
make verify
make info

  证书生成完毕后,会在basic目录下生成result、testca、server和client四个文件夹。
  通常使用单向认证的方式进行SSL\TLS通信,所需的文件为:
  (1)CA的证书文件testca/cacert.cer,C#客户端需要信任签名的CA;
  (2)CA证书文件result/ca_certificate.pem,用于服务端配置;
  (3)服务端证书文件result/server_certificate.pem,用于服务端配置;
  (4)服务端私钥文件result/server_key.pem,用于服务端配置;
  (5)客户端证书文件result/client_key.p12,用于客户端。
  在RabbitMQ解压目录的etc/rabbitmq/路径下,加入文件rabbitmq.conf(本文使用新格式配置文件,旧格式相应配置可自行参照官网的示例文件)。该路径为RabbitMQ默认配置文件路径,也可以RABBITMQ_CONFIG_FILE环境变量指定配置文件的路径。
  rabbitmq.conf内容:

# 限定非SSL\TLS的通信仅可在服务端本地连接
listeners.tcp.default = 127.0.0.1:5672
# SSL\TLS通信的端口
listeners.ssl.default = 5671
# 服务端私钥和证书文件配置
ssl_options.cacertfile = /root/tls-gen/basic/result/ca_certificate.pem
ssl_options.certfile = /root/tls-gen/basic/result/server_certificate.pem
ssl_options.keyfile = /root/tls-gen/basic/result/server_key.pem
# 有verify_none和verify_peer两个选项,verify_none表示完全忽略验证证书的结果,verify_peer表示要求验证对方证书
ssl_options.verify = verify_peer
# 若为true,服务端会向客户端索要证书,若客户端无证书则中止SSL握手;若为false,则客户端没有证书时依然可完成SSL握手
ssl_options.fail_if_no_peer_cert = true

7.2 Java客户端

  使用Java提供的keytool工具,将服务端证书server_certificate.pem转换为keystore证书文件:

keytool -import -alias rabbitmqserver -file F:/server_certificate.pem -keystore F:/server.keystore

  其中,“F:/server_certificate.pem”是服务端证书文件路径,“F:/server.keystore”是生成的keystore证书文件的路径。生成文件时要求设置一个密钥库口令,本文设置为“abcdef”。
  Java客户端如下:

import java.io.FileInputStream;
import java.security.KeyStore;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;

import com.rabbitmq.client.Channel;
import com.rabbitmq.client.Connection;
import com.rabbitmq.client.ConnectionFactory;


public class Sender {

	// RabbitMQ服务端地址、端口、用户名、密码
	private static final String ADDRESS = "10.176.64.227";
	private static final int PORT = 5671;
	private static final String USERNAME = "mqtester";
	private static final String PASSWORD = "mqtester";
	
	private static final String DEFAULT_EXCHANGE = "";
	private static final String QUEUE_NAME = "Queue_Java";
	
	// 使用tls-gen工具生成证书文件时设置的私钥密码
	private static final String CLIENT_KEYSTORE_PASSWORD = "123456";
	// 客户端证书文件client_key.p12路径
	private static final String CLIENT_KEYSTORE_PATH = System.getProperty("user.dir") + "\\client_key.p12";
	// 使用keytool生成证书文件时填写的密码
	private static final String SERVER_KEYSTORE_PASSWORD = "abcdef";
	// 使用keytool生成的服务端证书文件路径
	private static final String SERVER_KEYSTORE_PATH = System.getProperty("user.dir") + "\\server.keystore";

	
	public static void main(String[] args) throws Exception {
		
		ConnectionFactory factory = new ConnectionFactory();
		factory.setHost(ADDRESS);
		factory.setPort(PORT);
		factory.setUsername(USERNAME);
		factory.setPassword(PASSWORD);
		
		// 启用SSL\TLS
		KeyStore ks = KeyStore.getInstance("PKCS12");
		ks.load(new FileInputStream(CLIENT_KEYSTORE_PATH), CLIENT_KEYSTORE_PASSWORD.toCharArray());
		KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
		kmf.init(ks, CLIENT_KEYSTORE_PASSWORD.toCharArray());
		
		KeyStore tks = KeyStore.getInstance("JKS");
	    tks.load(new FileInputStream(SERVER_KEYSTORE_PATH), SERVER_KEYSTORE_PASSWORD.toCharArray());
	    TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
	    tmf.init(tks);
	      
		SSLContext ctx = SSLContext.getInstance("TLSv1.2");
		ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
		
		factory.useSslProtocol(ctx);
		
		// 发送消息,测试连接
		Connection connection = factory.newConnection();
		Channel channel = connection.createChannel();
		channel.queueDeclare(QUEUE_NAME, false, false, false, null);
		
		byte[] message = ("test message").getBytes();
		channel.basicPublish(DEFAULT_EXCHANGE, QUEUE_NAME, null, message);
				
		channel.close();
		connection.close();
	}
}

7.3 C#客户端

  由于使用tls-gen生成证书时,是自己作为CA进行签名的,需将CA的证书导入受信任的根证书颁发机构。
  运行“certmgr.msc”:

RabbitMQ指南(七) SSL\TLS通信_第1张图片

  将testca/cacert.cer文件导入受信任的根证书颁发机构:

RabbitMQ指南(七) SSL\TLS通信_第2张图片

  证书导入后如下:

RabbitMQ指南(七) SSL\TLS通信_第3张图片

  C#客户端如下:

public class Sender
{
    // RabbitMQ服务端地址、端口、用户名、密码
    private const string ADDRESS = "10.176.64.227";
    private const int PORT = 5671;
    private const string USERNAME = "mqtester";
    private const string PASSWORD = "mqtester";

    private const string DEFAULT_EXCHANGE = "";
    private const string QUEUE_NAME = "Queue_C#";

    // 使用tls-gen生成证书的服务器的主机名,该值必须填写正确
    private const string SERVER_NAME = "centos7";
    // 客户端证书文件client_key.p12路径
    private const string CLIENT_CERT_PATH = "F:\\client_key.p12";
    // 使用tls-gen工具生成证书文件时设置的私钥密码
    private const string CLIENT_CERT_PASSWORD = "123456";

    public static void Main(string[] args)
    {
        var factory = new ConnectionFactory()
        {
            HostName = ADDRESS,
            Port = PORT,
            UserName = USERNAME,
            Password = PASSWORD,
        };
        // 启用SSL\TLS
        factory.Ssl.ServerName = SERVER_NAME;
        factory.Ssl.CertPath = CLIENT_CERT_PATH;
        factory.Ssl.CertPassphrase = CLIENT_CERT_PASSWORD;
        factory.Ssl.Enabled = true;

        // 发送消息,测试连接
        using (var connection = factory.CreateConnection())
        {
            using (var channel = connection.CreateModel())
            {
                channel.QueueDeclare(QUEUE_NAME, false, false, false, null);
                byte[] message = Encoding.UTF8.GetBytes("test message");
                channel.BasicPublish(DEFAULT_EXCHANGE, QUEUE_NAME, null, message);
            }
        }
    }
}

你可能感兴趣的:(Rabbit指南)