RabbitMQ开启TLS支持，解决AMQP明文身份验证漏洞

随着网络通信安全性的日益重要，我们不难发现，在企业级应用中，数据传输的安全防护措施已经成为不可或缺的一环。近期，不少使用RabbitMQ的开发团队收到了关于“远程主机允许明文身份验证”的漏洞警告。为确保敏感信息的安全传递，启用TLS（Transport Layer Security）支持成为了关键的解决方案。本文将详细介绍如何在RabbitMQ中启用TLS加密，以及在SpringBoot应用中配置TLS并设置EXTERNAL认证，通过实际操作步骤解决明文身份验证漏洞。

一、启用RabbitMQ的TLS支持

1. 使用OpenSSL生成服务端证书

# 创建自签名CA证书，执行命令后根据提示设置CA私钥加密密码，并填写国家、地区等信息
openssl req -x509 -newkey rsa:4096 -sha512 -days 3650 -out ca_cert.pem -keyout ca_key.pem

# 生成RabbitMQ服务器私钥，执行命令后根据提示设置服务器私钥加密密码
openssl genpkey -algorithm RSA -out rabbit_server_key.pem -aes256

# 创建证书签名请求CSR，执行命令后根据提示输入上述服务器私钥加密密码
openssl req -new -key rabbit_server_key.pem -out rabbit_server.csr

# 使用之前创建的CA证书来签署服务器的CSR以生成服务器证书
openssl x509 -req -in rabbit_server.csr -CA ca_cert.pem -CAkey ca_key.pem -CAcreateserial -out rabbit_server_cert.pem -days 3650 -sha512

上述命令产生以下证书/私钥文件：

ca_cert.pem：CA证书文件。

ca_key.pem：CA私钥文件。

rabbit_server_cert.pem：RabbitMQ服务器证书文件。

rabbit_server_key.pem：RabbitMQ服务器私钥文件。

产生的以下中间文件可删除：

rabbit_server.csr、ca_cert.srl

2. 配置RabbitMQ启用TLS

将生成的证书/私钥文件放置到RabbitMQ配置目录下（比如：/etc/rabbitmq/ssl），然后在rabbitmq.conf文件中添加SSL相关配置：

listeners.ssl.default = 5671
auth_mechanisms.1 = EXTERNAL
ssl_options.cacertfile = /etc/rabbitmq/ssl/ca_cert.pem
ssl_options.certfile = /etc/rabbitmq/ssl/rabbit_server_cert.pem
ssl_options.keyfile = /etc/rabbitmq/ssl/rabbit_server_key.pem
ssl_options.password = #服务器私钥加密密码
ssl_options.verify = verify_peer
ssl_options.fail_if_no_peer_cert = true
ssl_cert_login_from = common_name

可以完全禁用常规（非TLS）监听，只有启用TLS的客户端使用正确的端口才能连接，添加以下配置：

# disables non-TLS listeners, only TLS-enabled clients will be able to connect
listeners.tcp = none

如果RabbitMQ配置文件使用经典配置格式，可以这样设置TLS配置：

[
  {rabbit, [
    {ssl_listeners, [5671]},
    {ssl_options, [
      {cacertfile, "/etc/rabbitmq/ssl/ca_cert.pem"},
      {certfile, "/etc/rabbitmq/ssl/rabbit_server_cert.pem"},
      {keyfile, "/etc/rabbitmq/ssl/rabbit_server_key.pem"},
      {verify, verify_peer},
      {fail_if_no_peer_cert, true}
    ]},
    {auth_mechanisms, ['EXTERNAL']},
    {ssl_cert_login_from, common_name}
  ]}
].

配置说明：

ssl_listeners：SSL协议端口。

cacertfile：CA证书路径。

certfile：服务器公钥路径。

keyfile：服务器私钥路径。

verify：verify_peer-使用对等验证，客户端与服务端交换证书并验证；verify_none-禁用对等验证，并且不会执行证书交换。

fail_if_no_peer_cert：true-不接受没证书的客户端连接；false-接受没证书的客户端连接。

auth_mechanisms：认证机制，EXTERNAL-使用插件提供认证功能；PLAIN-SASL PLAIN验证。在RabbitMQ服务器和客户端

ssl_cert_login_from：使用证书中的common_name（即CN）作为登录用户名（见下文创建客户端证书部分）。

为确保私钥文件的安全，产生的私钥文件默认仅属主用户可读写。需要检查文件权限，确保RabbitMQ运行用户可读，避免启动RabbitMQ服务时报错：ssl_options.keyfile invalid, file does not exist or cannot be read by the node.

二、客户端使用使用TLS连接

1. 使用OpenSSL生成客户端证书

# 创建客户端私钥，执行命令后根据提示设置私钥加密密码
openssl genpkey -algorithm RSA -out rabbit_client.key -aes256

# 从私钥创建证书签名请求CSR，执行命令后根据提示输入上述私钥密码
# 根据服务端ssl_cert_login_from的配置，CN=admin将使用admin作为登录RabbitMQ的用户名
openssl req -new -key rabbit_client.key -out rabbit_client.csr -subj "/CN=admin/O=Your Organization Name/C=CN"

# 使用自签名CA证书和服务器私钥生成客户端证书（将rabbit_client.csr文件上传到RabbitMQ服务器执行）
openssl x509 -req -in rabbit_client.csr -CA ca_cert.pem -CAkey ca_key.pem -CAcreateserial -out rabbit_client.crt -days 3650 -sha512

# 使用客户端证书创建客户端PKCS12格式的KeyStore，执行命令后，根据提示先输入客户端私钥密码，再设置KeyStore密码
openssl pkcs12 -export -in rabbit_client.crt -inkey rabbit_client.key -out rabbit_client.p12 -CAfile ca_cert.pem -name rabbit_client -caname rabbit_root_ca

# 将CA证书添加到TrustStore，以信任该CA证书，执行命令后，根据提示先设置TrustStore密码，再输入yes信任这个CA证书
keytool -importcert -alias rabbit_root_ca -keystore rabbit_truststore.jks -file ca_cert.pem

上述命令产生以下证书/私钥文件：

rabbit_client.p12：客户端PKCS12格式的KeyStore，用于存储客户端证书与私钥。

rabbit_truststore.jks：客户端TrustStore文件，存放信任的CA证书。

产生的以下中间文件可删除：

rabbit_client.key、rabbit_client.csr、rabbit_client.crt

2. 应用配置

将生成的KeyStore和Truststore文件放置到应用配置目录下（如：resources/ssl），然后在应用配置文件中进行TLS相关配置：

spring:
  rabbitmq:
    addresses: server:5671
    ssl:
      enabled: true
      key-store: classpath:ssl/rabbit_client.p12
      key-store-password: #KeyStore密码
      trust-store: classpath:ssl/rabbit_truststore.jks
      verify-hostname: false

3. 应用设置EXTERNAL认证机制

@Configuration
@ConditionalOnProperty(name = "spring.rabbitmq.ssl.enabled", havingValue = "true")
public class RabbitmqSslConfig {
    @Autowired
    CachingConnectionFactory cachingConnectionFactory;

    /**
     * 解决安全扫描AMQP明文登录漏洞，显式设置EXTERNAL认证机制
     * EXTERNAL认证机制使用X509认证方式，服务端读取客户端证书中的CN作为登录名称
     */
    @PostConstruct
    public void rabbitmqSaslExternal() {
        cachingConnectionFactory.getRabbitConnectionFactory().setSaslConfig(DefaultSaslConfig.EXTERNAL);
    }
}

通过上述步骤，我们成功实现了在RabbitMQ中启用TLS加密，从而有效地解决了明文身份验证带来的安全隐患。