楔子

近期公司程序被安全掃描出 遠程主機允許明文身份驗證 中風險漏洞,查了下修複方案,RabbitMQ官方提供了SSL連接方式,而且 SpringBoot AMQP 也支持 SSL 連接。以下將配置RabbitMQ開啟SSL 並使用 SpringBoot Demo 測試連接。

PS : 寫文章時此配置還未安全掃描複測,如果測試通過,本人將更新此文章狀態為驗證通過。

配置 RabbitMQ 開啟 SSL

本文基於 CentOS 7 + Git + OpenSSL + yum 安裝的 RabbitMQ,需要讀者提交安裝好。其他方式也可變通參考本文。

生成證書

#克隆生成證書的倉庫到當前目錄
git clone --depth 1 https://github.com/Berico-Technologies/CMF-AMQP-Configuration.git
cd CMF-AMQP-Configuration/ssl
#生成ca證書,“MyRabbitMQCA”為自定義名稱,名稱任意。在當前目錄下生成ca目錄
sh setup_ca.sh MyRabbitMQCA
#生成服務端證書,第一個參數是服務端證書前綴,第二個參數是密碼。密碼任意,在當前目錄下生成server目錄
sh make_server_cert.sh rabbitmq-server 123456
#生成客戶端證書,第一個參數是客戶端證書前綴,第二個參數是密碼。密碼任意,在當前目錄下生成client目錄
sh create_client_cert.sh rabbitmq-client 654321

配置 RabbitMQ 服務端的證書如下:

ca/cacert.pem #CA證書
server/rabbitmq-server.cert.pem #服務端公鑰
server/rabbitmq-server.key.pem #服務端私鑰

使用 RabbitMQ 服務端公鑰證書生成 JKS 證書

# -alias後為別稱,-file後是服務端公鑰比特置,-keystore後是輸出JSK證書比特置,此處相對路徑
keytool -import -alias rabbitmq-server \
-file server/rabbitmq-server.cert.pem \
-keystore rabbitmqTrustStore -storepass changeit
#輸入y回車

配置 RabbitMQ 客戶端的證書如下:

client/rabbitmq-client.keycert.p12 #PKCS12證書,包含客戶端所需公私鑰及中間證書
rabbitmqTrustStore #服務端JKS格式公鑰

默認 RabbitMQ 配置目錄在 /etc/rabbitmq,我們創建個證書目錄存放服務端證書

mkdir -p /etc/rabbitmq/ssl
#複制服務端必要證書
cp ca/cacert.pem \
server/rabbitmq-server.cert.pem \
server/rabbitmq-server.key.pem /etc/rabbitmq/ssl/

修改 RabbitMQ 配置文件

修改 RabbitMQ 配置文件 /etc/rabbitmq/rabbitmq.config,此文件默認不存在,需要手動創建

[{rabbit, [
{ssl_listeners, [5671]},
{ssl_options, [
{cacertfile, "/etc/rabbitmq/ssl/cacert.pem"},
{certfile, "/etc/rabbitmq/ssl/rabbitmq-server.cert.pem"},
{keyfile, "/etc/rabbitmq/ssl/rabbitmq-server.key.pem"},
{verify, verify_peer},
{fail_if_no_peer_cert, true},
{ciphers, [
"ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
"ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
"ECDHE-ECDSA-DES-CBC3-SHA","ECDH-ECDSA-AES256-GCM-SHA384",
"ECDH-RSA-AES256-GCM-SHA384","ECDH-ECDSA-AES256-SHA384",
"ECDH-RSA-AES256-SHA384","DHE-DSS-AES256-GCM-SHA384",
"DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
"AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
"ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
"ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
"ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
"ECDH-RSA-AES128-SHA256","DHE-DSS-AES128-GCM-SHA256",
"DHE-DSS-AES128-SHA256","AES128-GCM-SHA256",
"AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
"ECDHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
"ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA",
"AES256-SHA","ECDHE-ECDSA-AES128-SHA",
"ECDHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA",
"ECDH-ECDSA-AES128-SHA","ECDH-RSA-AES128-SHA","AES128-SHA"
]}
]}
]}].

主要配置項說明:

  • ssl_listeners 指定 SSL協議的端口號,官方文檔 5671
  • ssl_options SSL 認證配置項
    • cacertfile CA 證書比特置
    • certfile 公鑰證書比特置
    • keyfile 密鑰證書比特置
    • verify
      • verify_peer 客戶端與服務端互相發送證書
      • verify_none 禁用證書交換與校驗
    • fail_if_no_peer_cert
      • true 不接受沒證書的客戶端連接
      • false 接受沒證書的客戶端連接
    • ciphers 加密器(這個翻譯不知道算不算對?)

重啟 RabbitMQ

#關閉
rabbitmqctl stop
#啟動
rabbitmq-server -detached

驗證開啟 SSL 是否成功

使用 Rabbitmq 自帶的診斷工具查看端口監聽狀態及使用協議

#查看監聽
rabbitmq-diagnostics listeners
#查看支持的TLS版本
rabbitmq-diagnostics --silent tls_versions

使用 OpenSSL CLI 工具驗證證書是否有效

cd 生成證書的ssl目錄
#使用客戶端證書+CA證書連接RabbitMQ驗證。本處MQ與生成證書是同一主機,其他情况請自行考慮。
openssl s_client -connect localhost:5671 \
-cert client/rabbitmq-client.cert.pem \
-key client/rabbitmq-client.key.pem \
-CAfile ca/cacert.pem

除了命令行查看外,還可以通過管理界面查看,不過只能確定開啟了 SSL 監聽,無法確認證書是否通過驗證。

編寫 SpringBoot 代碼連接測試

代碼結構

只是使用 start.spring.io 生成的 Maven 工程,依賴了 WEB 和 AMQP

代碼及配置

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.5.8</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>demo</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>demo</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-amqp</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency> <dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.amqp</groupId>
<artifactId>spring-rabbit-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies> <build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build> </project>

啟動類 DemoApplication.java

package com.hellxz.rabbitmq.ssl;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication
public class DemoApplication { public static void main(String[] args) {
SpringApplication.run(DemoApplication.class, args);
} }

RabbitMQ客戶端配置類 RabbitFanoutExchangeConfig.java

package com.hellxz.rabbitmq.ssl;
import org.springframework.amqp.core.Binding;
import org.springframework.amqp.core.BindingBuilder;
import org.springframework.amqp.core.FanoutExchange;
import org.springframework.amqp.core.Queue;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration; @Configuration
public class RabbitFanoutExchangeConfig {
public static final String FANOUT_EXCHANGE = "fanout.exchange";
public static final String FANOUT_QUEUE1 = "fanout.queue1"; @Bean(name = FANOUT_EXCHANGE)
public FanoutExchange fanoutExchange() {
return new FanoutExchange(FANOUT_EXCHANGE, true, false);
} @Bean(name = FANOUT_QUEUE1)
public Queue fanoutQueue1() {
return new Queue(FANOUT_QUEUE1, true, false, false);
} @Bean
public Binding bindingSimpleQueue1(@Qualifier(FANOUT_QUEUE1) Queue fanoutQueue1,
@Qualifier(FANOUT_EXCHANGE) FanoutExchange fanoutExchange) {
return BindingBuilder.bind(fanoutQueue1).to(fanoutExchange);
}
}

發消息測試類 TestController.java

package com.hellxz.rabbitmq.ssl;
import org.springframework.amqp.core.Message;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController; @RestController
public class TestController {
@Autowired
RabbitMQSenderService rabbitMQSenderService; @GetMapping("/test")
public void sendMsg() {
Message msg = new Message("hello world".getBytes());
try {
rabbitMQSenderService.send(RabbitFanoutExchangeConfig.FANOUT_EXCHANGE,
RabbitFanoutExchangeConfig.FANOUT_QUEUE1, msg);
} catch (Exception e) {
e.printStackTrace();
}
}
}

發消息服務 RabbitMQSenderService.java

package com.hellxz.rabbitmq.ssl;
import java.util.UUID;
import org.springframework.amqp.core.Message;
import org.springframework.amqp.rabbit.connection.CorrelationData;
import org.springframework.amqp.rabbit.core.RabbitTemplate;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component; @Component
public class RabbitMQSenderService {
@Autowired
private RabbitTemplate rabbitTemplate; public void send(String exchange, String routingkey, Message message) { CorrelationData correlationId = new CorrelationData(UUID.randomUUID().toString());
System.out.println("start send msg : " + message);
rabbitTemplate.convertAndSend(exchange, routingkey, message, correlationId);
System.out.println("end send msg : " + message);
}
}

消息接收者 RabbitMQReciver.java

package com.hellxz.rabbitmq.ssl;
import org.springframework.amqp.rabbit.annotation.RabbitListener;
import org.springframework.stereotype.Component; @Component
class RabbitMQReciver { @RabbitListener(queues = RabbitFanoutExchangeConfig.FANOUT_QUEUE1)
public void reciveLogAll(String msg) throws Exception {
System.out.println("received msg:" + msg);
}
}

配置文件 application.properties

server.port=8085
#基礎配置請根據實際配置
spring.rabbitmq.host=192.168.56.104
#ssl協議端口
spring.rabbitmq.port=5671
spring.rabbitmq.username=admin
spring.rabbitmq.password=123456
spring.rabbitmq.virtual-host=/ #啟用rabbitmq客戶端SSL連接
spring.rabbitmq.ssl.enabled=true
#客戶端PKCS12證書及密碼
spring.rabbitmq.ssl.key-store=classpath:ssl/rabbitmq-client.keycert.p12
spring.rabbitmq.ssl.key-store-password=654321
#公鑰證書及類型
spring.rabbitmq.ssl.trust-store=classpath:ssl/rabbitmqTrustStore
spring.rabbitmq.ssl.trust-store-type=JKS
#不校驗主機名,默認開啟會導致連接失敗
spring.rabbitmq.ssl.verify-hostname=false

src/main/resources 下創建 ssl 目錄,將 客戶端證書和服務端JKS公鑰複制到 ssl 目錄中。

執行代碼驗證

運行 DemoApplication.java,查看控制臺是否有報錯:

如圖,提示創建連接成功,說明已經連接成功了。

我們再調用 TestController.java 中定義的 /test 接口

消息發送與消費成功。

參考

本文同步於本人博客園(hellxz.cnblogs.com) 與 CSDN(https://blog.csdn.net/u012586326),禁止轉載。

RabbitMQ開啟SSL與SpringBoot連接測試的更多相關文章

  1. EasyNetQ使用(二)【連接RabbitMQ,SSL連接,Logging】

    如果你連接過關系數據庫,例如SQL Server.你會發現EasyNetQ處理connections有點奇怪.和關系數據庫通訊一直都是通過client開始的.Client 打開一個連接, 發出一個SQ ...

  2. springboot入門系列(五):SpringBoot連接多RabbitMQ源

    SpringBoot連接多RabbitMQ源 在實際開發中,很多場景需要异步處理,這時就需要用到RabbitMQ,而且隨著場景的增多程序可能需要連接多個RabbitMQ.SpringBoot本身提供了 ...

  3. 在linux下的apache配置https協議,開啟ssl連接

    環境:linux 配置https協議,需要2大步驟: 一.生成服務器證書 1.安裝openssl軟件 yum install -y openssl mod_ssl 2.生成服務器私匙,生成server ...

  4. Linux Mysql 安裝 開啟遠程連接 供python agent 連接測試 Mark

    Linux     6.3 (1) cat  /etc/redhat-release uname -a 查看yum 源:   阿裏源 無源運行: echo 下載阿裏雲的yum源配置 wget -O / ...

  5. Https雙向驗證與Springboot整合測試-人來人往我只認你

    1 簡介 不知不覺Https相關的文章已經寫了6篇了,本文將是這個專題的最後一篇,起碼近期是最後一篇.前面6篇講的全都是單向的Https驗證,本文將重點介紹一下雙向驗證.有興趣的同學可以了解一下之前的 ...

  6. springboot 連接池wait_timeout超時設置

    使用springboot 線程池連接MySQL時,mysql數據庫wait_timeout 為8個小時,所以程序第二天發現報錯,在url配置了 autoReconnect=true 也不行,查詢配置以 ...

  7. 你的MySQL服務器開啟SSL了嗎?

    最近,准備昇級一組MySQL到5.7版本,在安裝完MySQL5.7後,在其data目錄下發現多了很多.pem類型的文件,然後通過查閱相關資料,才知這些文件是MySQL5.7使用SSL加密連接的.本篇主 ...

  8. 你的MySQL服務器開啟SSL了嗎?SSL在https和MySQL中的原理思考

    最近,准備昇級一組MySQL到5.7版本,在安裝完MySQL5.7後,在其data目錄下發現多了很多.pem類型的文件,然後通過查閱相關資料,才知這些文件是MySQL5.7使用SSL加密連接的.本篇主 ...

  9. 你的MySQL服務器開啟SSL了嗎?(轉載)

    最近,准備昇級一組MySQL到5.7版本,在安裝完MySQL5.7後,在其data目錄下發現多了很多.pem類型的文件,然後通過查閱相關資料,才知這些文件是MySQL5.7使用SSL加密連接的.本篇主 ...

  10. MySQL開啟SSL認證,以及簡單優化

    1.1 MySQL開啟SSL認證 #生成一個 CA 私鑰 [[email protected] ssl]# openssl genrsa 2048 > ca-key.pem Generating RSA pri ...

隨機推薦

  1. UILabel筆記(待完善)

    UIlabel的換行由 numberOfLines 屬性控制,當為0時,則會自動換到適合的行數: 換行的模式由 lineBreakMode 屬性控制: public enum NSLineBreakM ...

  2. CentOS7 搭建python3 Django環境

    yum install gcc yum install make yum install openssl-devel -y yum install sqlite-devel -y wget https ...

  3. php圖形圖像處理之生成驗證碼

    \(^o^)/~ 現在網上越來越離不開驗證碼了,不知道小夥伴們知不知利用php的GD庫就可以生成驗證碼,Σ(⊙▽⊙"a ...... 首先介紹幾個需要用的函數. 1.imagesetpixe ...

  4. boost

    參考博客 http://www.cnblogs.com/lidabo/p/3805487.html http://www.cppblog.com/Robertxiao/archive/2013/01/ ...

  5. J2EE請求和響應—Servlet

    一.什麼是Servlet? Servlet是執行Webserver上的一個特殊Java類.其特殊用途是響應client請求並做出處理.使得client與server端進行交互. 二.生命周期  Ser ...

  6. 更快的理解js中循環嵌套

    [循環控制語句] break語句:終止本層循環,繼續執行循環後面的語句:(當循環有多層時,break只會跳出一層循環) continue語句:跳過本次循環,繼續執行下次循環: (對於for循環,con ...

  7. Spring思維導圖(MVC篇)

    寫在前面 生活就像海洋,只有意志堅强的人才能到達彼岸. 已經很久沒有發文章了呀,想必大家都掛念我了,哈哈. 溫故而知新,今天一起來複習一下spring mvc的內容吧. spring mvc簡介與運行 ...

  8. 雲計算之路-阿裏雲上: RDS實例CPU跑滿引發的故障

    今天上午 10: 40 左右,我們所使用的阿裏雲 RDS 實例的 CPU 突然飆高到近 100% ,造成大量數據庫查詢操作緩慢.超時,在這個惡劣條件下大量 memcached 緩存無法建立,這樣的雪上 ...

  9. 微信小程序--地圖組件與api-模擬器上返回的scale 與真機上不同--bindregionchange觸發圖標一直閃現問題

    場景:根據地理定比特獲取不同地區的充電樁比特置,要求 1.平移的時候,跟隨坐標變化展示不同區域的坐標點信息 2.不同的縮放等級,14以下,展示聚合點數據,14以上,展示真正的站點信息: 3.點擊聚合點的時 ...

  10. python2中urllib2模塊帶cookies使用方法

    #!/usr/bin/python # coding=utf-8 #############方式1######################### import urllib2 cookie = & ...