CentOS-Docker安裝RabbitMQ(單點)配置SSL

原創 原創 2021-01-30 09:35

RabbitMQ要對外提供服務,考慮到安全性,配置SSL進行訪問,ssl端口5671,內部仍然使用5672進行訪問,兩者同時兼容。

一、生成證書

從github上克隆項目(yum -y install git)
$ cd /home/rabbitmq/
$ git clone https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git
$ cd /home/rabbitmq/CMF-AMQP-Configuration/ssl/

修改證書有效期(可選,默認1年)
$ vi openssl.cnf

default_days = 365

生成證書籤發機構(生成ca目錄)
$ sh setup_ca.sh xxx

生成服務端公鑰和私鑰(生成server目錄)
$ sh make_server_cert.sh rabbit-server 123456

生成客戶端公鑰和私鑰(生成client目錄)
$ sh create_client_cert.sh rabbit-client 123456

JDK導入服務端證書
$ keytool -import -alias rabbit-server -file server/rabbit-server.cert.pem -keystore rabbitStore -storepass 123456

二、安裝RabbitMQ並配置SSL

獲取鏡像

$ docker pull rabbitmq:management

生成配置文件

$ mkdir -p /home/rabbitmq/lib /home/rabbitmq/etc /home/rabbitmq/log
$ docker run --restart=unless-stopped -d -p 5672:5672 -p 15672:15672 --name rabbitmq rabbitmq:management
$ docker cp -a rabbitmq:/var/lib/rabbitmq /home/rabbitmq/lib/
$ docker cp -a rabbitmq:/etc/rabbitmq /home/rabbitmq/etc/
$ docker cp -a rabbitmq:/var/log/rabbitmq /home/rabbitmq/log/

拷貝生成的證書到相對的/home/rabbitmq/etc/rabbitmq/ssl/目錄下

$ cd /home/rabbitmq/CMF-AMQP-Configuration/ssl/
$ mkdir -p /home/rabbitmq/etc/rabbitmq/ssl
$ cp -r ca server client rabbitStore /home/rabbitmq/etc/rabbitmq/ssl

配置SSL信息(追加)

vim /home/rabbitmq/etc/rabbitmq/rabbitmq.conf

# SSL\TLS通信的端口
listeners.ssl.default=5671
# 服務端私鑰和證書文件配置
ssl_options.cacertfile=/etc/rabbitmq/ssl/ca/cacert.pem
ssl_options.certfile=/etc/rabbitmq/ssl/server/rabbit-server.cert.pem
ssl_options.keyfile=/etc/rabbitmq/ssl/server/rabbit-server.key.pem

# 有verify_none和verify_peer兩個選項,verify_none表示完全忽略驗證證書的結果,verify_peer表示要求驗證對方證書
ssl_options.verify=verify_peer
# 若爲true,服務端會向客戶端索要證書,若客戶端無證書則中止SSL握手;若爲false,則客戶端沒有證書時依然可完成SSL握手
ssl_options.fail_if_no_peer_cert=true
ssl_options.versions.1=tlsv1.2
ssl_options.versions.2=tlsv1.1

ssl_options.ciphers.1 = ECDHE-ECDSA-AES256-GCM-SHA384
ssl_options.ciphers.2 = ECDHE-RSA-AES256-GCM-SHA384
ssl_options.ciphers.3 = ECDHE-ECDSA-AES256-SHA384
ssl_options.ciphers.4 = ECDHE-RSA-AES256-SHA384
ssl_options.ciphers.5 = ECDHE-ECDSA-DES-CBC3-SHA
ssl_options.ciphers.6 = ECDH-ECDSA-AES256-GCM-SHA384
ssl_options.ciphers.7 = ECDH-RSA-AES256-GCM-SHA384
ssl_options.ciphers.8 = ECDH-ECDSA-AES256-SHA384
ssl_options.ciphers.9 = ECDH-RSA-AES256-SHA384
ssl_options.ciphers.10 = DHE-DSS-AES256-GCM-SHA384
ssl_options.ciphers.11 = DHE-DSS-AES256-SHA256
ssl_options.ciphers.12 = AES256-GCM-SHA384
ssl_options.ciphers.13 = AES256-SHA256
ssl_options.ciphers.14 = ECDHE-ECDSA-AES128-GCM-SHA256
ssl_options.ciphers.15 = ECDHE-RSA-AES128-GCM-SHA256
ssl_options.ciphers.16 = ECDHE-ECDSA-AES128-SHA256
ssl_options.ciphers.17 = ECDHE-RSA-AES128-SHA256
ssl_options.ciphers.18 = ECDH-ECDSA-AES128-GCM-SHA256
ssl_options.ciphers.19 = ECDH-RSA-AES128-GCM-SHA256
ssl_options.ciphers.20 = ECDH-ECDSA-AES128-SHA256
ssl_options.ciphers.21 = ECDH-RSA-AES128-SHA256
ssl_options.ciphers.22 = DHE-DSS-AES128-GCM-SHA256
ssl_options.ciphers.23 = DHE-DSS-AES128-SHA256
ssl_options.ciphers.24 = AES128-GCM-SHA256
ssl_options.ciphers.25 = AES128-SHA256
ssl_options.ciphers.26 = ECDHE-ECDSA-AES256-SHA
ssl_options.ciphers.27 = ECDHE-RSA-AES256-SHA
ssl_options.ciphers.28 = DHE-DSS-AES256-SHA
ssl_options.ciphers.29 = ECDH-ECDSA-AES256-SHA
ssl_options.ciphers.30 = ECDH-RSA-AES256-SHA
ssl_options.ciphers.31 = AES256-SHA
ssl_options.ciphers.32 = ECDHE-ECDSA-AES128-SHA
ssl_options.ciphers.33 = ECDHE-RSA-AES128-SHA
ssl_options.ciphers.34 = DHE-DSS-AES128-SHA
ssl_options.ciphers.35 = DHE-DSS-AES128-SHA256
ssl_options.ciphers.36 = ECDH-ECDSA-AES128-SHA
ssl_options.ciphers.37 = ECDH-RSA-AES128-SHA
ssl_options.ciphers.38 = AES128-SHA

刪除重建帶有目錄映射的容器

$ docker rm -f -v rabbitmq
$ docker run --restart=unless-stopped -d -p 5672:5672 -p 15672:15672 --name rabbitmq \
-v /home/rabbitmq/etc/rabbitmq:/etc/rabbitmq \
-v /home/rabbitmq/lib/rabbitmq:/var/lib/rabbitmq:z \
-v /home/rabbitmq/log/rabbitmq/:/var/log/rabbitmq \
-e RABBITMQ_DEFAULT_USER=admin -e RABBITMQ_DEFAULT_PASS=123456 rabbitmq:management

查看日誌驗證是否配置成功

$ docker logs -f rabbitmq

 

訪問管理頁面查看是否配置成功

 

SpringBoot集成SSL

spring:
  rabbitmq:
    addresses: 192.168.1.100:5671
    username: admin
    password: 123456
    virtual-host: /
    ssl:
      enabled: true
      key-store: classpath:rabbitmq/ssl/client/rabbit-client.keycert.p12
      key-store-password: 123456
      trust-store: classpath:rabbitmq/ssl/rabbitStore
      trust-store-password: 123456
      algorithm: TLSv1.2
      trust-store-type: JKS
      key-store-type: PKCS12
      validate-server-certificate: true
      verify-hostname: false
 

說明:

ssl使用的是5671的端口,如果不使用ssl還可以使用5672端口
ssl.enabled 是否啓用ssl,默認false
key-store 客戶端證書的存儲路徑
key-store-password 生成客戶端證書的密碼
trust-store 信任證書的存儲路徑
trust-store-password:生成證書的密碼 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

雲原生週刊:Terraform 1.8 發佈 | 2024.5.6

開源項目推薦 xlskubectl 用於控制 Kubernetes 集羣的電子表格。xlskubectl 將 Google Spreadsheet 與 Kubernetes 集成。你可以通過用於跟蹤費用的同一電子表格來管理集羣。 git-

原創 2024-05-06 22:46:37

密碼學的安全性淺析3

 前言  本文是本系列的第三篇,由於側重點是對密碼學中的安全性問題進行分析,所以不會對密碼學基礎的核心概念進行闡述,如果閱讀本系列文章時不明白所涉及的術語時請參考國內大學的推薦教材,如《密碼學原理與實踐》《深入淺出密碼學》,如果只是感興趣

原創 2022-04-30 11:54:39

全棧開發實戰——Nginx

介紹 Nginx是一個開放源代碼的高性能HTTP和反向代理服務器,爲Internet上一些最大的站點提供支持。 Nginx可以用作獨立的Web服務器,也可以用作 Apache 和其他Web服務器的反向代理。 與Apache相比,Nginx可

原創 2021-12-25 21:45:12

前後端完全分離nginx配置參考

admin.example.com.conf server { listen 443 ssl http2; #listen [::]:443 ssl http2; server_n

原創 2021-12-25 21:17:59

Where can I find the API KEY for Firebase Cloud Messaging?

問題: 我試圖弄清楚新版本的 GCM 或 Firebase Cloud Messaging 是如何工作的,所以我將我的一個項目移到了新的 Firebase 控制檯,如果我沒有 API KEY 或者我想創建一個新的...在哪裏我可以嗎?

javail 2021-10-25 09:16:34

使用賬號密碼來操作github? NO!

簡介 最近在更新github文件的時候,突然說不讓更新了,讓我很是困惑,原因是在2021年8月13號之後,github已經不讓直接使用賬號名密碼來登錄了,必須使用personal access token。今天給大家講解一下怎麼對這個to

原創 2021-08-17 21:30:33

微信native掃碼支付遇到的問題(2)

微信支付升級V3後,網上並沒有太多實現V3通知驗籤的代碼邏輯,有的給出的案例非常粗糙,無法直接使用。主要問題有: 1、要用平臺證書籤名,不是配置微信是生成的商戶個人的證書文件或密鑰。 2、平臺證書籤名要通過接口自己獲取,可以解析一次自己保存

原創 2021-07-19 21:17:18

nginx 域名配置websocket 和跳轉實現

域名server 配置實現test-im.xxx.cn, 修改nginx配置文件: vim /usr/local/nginx/conf/nginx.conf 在 http { ... } 文件中添 include /usr/local/n

原創 2021-06-01 21:31:09

RabbitMQ 中的 VirtualHost 該如何理解

當我們第一次安裝好一個 RabbitMQ 之後,我們可能都會通過 Web 頁面去管理這個 RabbitMQ,默認情況下,我們第一次使用的默認用戶是 guest。 登錄成功後,在 admin 選項卡可以查看所有用戶: 可以看到,每個用戶都有

原創 2021-12-25 21:26:41

另類玩法!使用 REST API 操作 RabbitMQ

@[toc] RabbitMQ 還可以這麼玩! 關於 RabbitMQ 的管理,我們可以通過網頁來進行,在松哥前面的文章中也和小夥伴們做了相關的介紹了: RabbitMQ 管理頁面該如何使用 不過呢,如果我們安裝了 rabbitmq_m

原創 2021-12-25 21:26:41

手把手教你搭建 RabbitMQ 集羣

@[toc] 單個的 RabbitMQ 肯定無法實現高可用,要想高可用,還得上集羣。 今天松哥就來和大家聊一聊 RabbitMQ 集羣的搭建。 1. 兩種模式 說到集羣,小夥伴們可能第一個問題是,如果我有一個 RabbitMQ 集羣,那麼是

原創 2021-12-25 21:26:40

RabbitMQ集羣和高可用方案

RabbitMQ高可用集羣方案 RabbitMQ的Cluster模式分爲兩種: 普通模式 鏡像模式 Cluster普通模式: 元數據包含以下內容: 隊列元數據:隊列的名稱及屬性 交換器:交換器的名稱及屬性 綁定關係元數據:交換器

CodingDiary 2021-12-25 21:11:58

整合Spring Cloud Stream Binder與RabbitMQ進行消息發送與接收

我最新最全的文章都在 南瓜慢說 www.pkslow.com ,歡迎大家來喝茶! 1 前言 Spring Cloud Stream專門用於事件驅動的微服務系統,使用消息中間件來收發信息。使用Spring Cloud Stream可專注於

原創 2021-06-22 09:32:34

RabbitMQ 服務的SimpleMessageListenerContainer和DirectMessageListenerContainer

RabbitMQ 消費者代碼開發過程中會使用到 SimpleMessageListenerContainer 和 DirectMessageListenerContainer。 在版本2.0之前的版本中,只有一種MessageListene

張宏亮 2021-04-16 21:09:17

RabbitMQ的消息確認ACK機制

1、什麼是消息確認ACK。   答:如果在處理消息的過程中,消費者的服務器在處理消息的時候出現異常,那麼可能這條正在處理的消息就沒有完成消息消費,數據就會丟失。爲了確保數據不會丟失,RabbitMQ支持消息確定-ACK。 2、ACK的消息確

xiaomin0322 2021-03-23 21:21:46