tls:使用 streadway/amqp 为 RabbitMQ 启用 tls 时握手失败
tls: handshake failure when enabling tls for RabbitMQ with streadway/amqp
我正在尝试使用 streadway/amqp 在 Go 中使用 amqps:// 连接到 RabbitMQ。我可以与 amqp:// 成功连接。启用 TLS 并使用 amqps:// 时出现以下错误:
panic: remote error: tls: handshake failure
RabbitMQ 运行正在 docker 中使用以下环境变量和设置:
environment:
RABBITMQ_SSL_CACERTFILE: /ca_certificate.pem
RABBITMQ_SSL_CERTFILE: /server_certificate.pem
RABBITMQ_SSL_KEYFILE: /server_key.pem
ports:
- 5671:5671 # Note that 5671 is for tls and 5672 is non-tls
volumes:
- ./ca_certificate.pem:/ca_certificate.pem:ro
- ./server_certificate.pem:/server_certificate.pem:ro
- ./server_key.pem:/server_key.pem:ro
我用 amqp/streadway 尝试了以下操作:
err := amqp.DialTLS(amqps://guest:guest@localhost:5671", nil)
if err != nil {
panic(err)
}
我也试过读取证书文件,创建密钥对,将证书颁发机构附加到证书池,并在 tls.Config{} 中以这种方式使用它,具有以下功能:
tls.LoadX509KeyPair()x509.NewCertPool().AppendCertsFromPEM()
我使用 mkcert 为 127.0.0.1、localhost、rabbitmq 生成了证书。
根据一些与 RabbitMQ 无关的答案,一些人认为密码可能是错误的。所以我看了一下rabbitmq使用的是什么密码:
$ openssl s_client -connect localhost:5671 -tls1
Protocol : TLSv1
Cipher : ECDHE-RSA-AES256-SHA
<etc etc...>
Verify return code: 0 (ok)
当我运行上面的命令时也有一两个错误,但我猜这是因为我没有在这个命令中提供CA证书(我使用的是MacOS)。可能相关,也可能不相关,因为我对 postgres 没有这个问题,例如:
verify error:num=19:self signed certificate in certificate chain
verify return:0
4644699756:error:1401E410:SSL routines:CONNECT_CR_FINISHED:sslv3 alert handshake failure:/AppleInternal/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-47.100.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 40
然后我在golang中使用下面的tls.Config设置:
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert}, // from tls.LoadX509KeyPair
RootCAs: caCertPool,
CipherSuites: []uint16{
tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, // these look like they match the Cipher above
tls.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
},
CurvePreferences: []tls.CurveID{tls.CurveP521, tls.CurveP384, tls.CurveP256},
PreferServerCipherSuites: true,
InsecureSkipVerify: true,
MinVersion: tls.VersionTLS10,
}
我仍然有同样的问题。我非常怀疑是图书馆的问题,一定是我做错了什么,但那是什么?
我复制了你的设置。它不起作用,因为您需要使用 client 证书配置 AMQP 连接。
使用mkcert:mkcert -client rabbitmq.test localhost 127.0.0.1 ::1(注意-client标志)。
在此之后,您只需要使用 tls.LoadX509KeyPair 将客户端证书传递到您的 AMQP tlsConfig 中,它应该就可以工作了:
cert, err := tls.LoadX509KeyPair("./rabbitmq.test+3-client.pem", "./rabbitmq.test+3-client-key.pem")
// Load CA cert
caCert, err := ioutil.ReadFile("./rootCA.pem") // The same you configured in your MQ server
if err != nil {
log.Fatal(err)
}
caCertPool := x509.NewCertPool()
caCertPool.AppendCertsFromPEM(caCert)
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert}, // from tls.LoadX509KeyPair
RootCAs: caCertPool,
// ...other options are just the same as yours
}
conn, err := amqp.DialTLS("amqps://test:secret@127.0.0.1:5671", tlsConfig)
if err != nil {
panic(err) // does not panic!
}
// ... application code
PS:在我的设置中,我使用了一些与您不同的名称 (user/password/container),但这些应该无关紧要
我正在尝试使用 streadway/amqp 在 Go 中使用 amqps:// 连接到 RabbitMQ。我可以与 amqp:// 成功连接。启用 TLS 并使用 amqps:// 时出现以下错误:
panic: remote error: tls: handshake failure
RabbitMQ 运行正在 docker 中使用以下环境变量和设置:
environment:
RABBITMQ_SSL_CACERTFILE: /ca_certificate.pem
RABBITMQ_SSL_CERTFILE: /server_certificate.pem
RABBITMQ_SSL_KEYFILE: /server_key.pem
ports:
- 5671:5671 # Note that 5671 is for tls and 5672 is non-tls
volumes:
- ./ca_certificate.pem:/ca_certificate.pem:ro
- ./server_certificate.pem:/server_certificate.pem:ro
- ./server_key.pem:/server_key.pem:ro
我用 amqp/streadway 尝试了以下操作:
err := amqp.DialTLS(amqps://guest:guest@localhost:5671", nil)
if err != nil {
panic(err)
}
我也试过读取证书文件,创建密钥对,将证书颁发机构附加到证书池,并在 tls.Config{} 中以这种方式使用它,具有以下功能:
tls.LoadX509KeyPair()x509.NewCertPool().AppendCertsFromPEM()
我使用 mkcert 为 127.0.0.1、localhost、rabbitmq 生成了证书。
根据一些与 RabbitMQ 无关的答案,一些人认为密码可能是错误的。所以我看了一下rabbitmq使用的是什么密码:
$ openssl s_client -connect localhost:5671 -tls1
Protocol : TLSv1
Cipher : ECDHE-RSA-AES256-SHA
<etc etc...>
Verify return code: 0 (ok)
当我运行上面的命令时也有一两个错误,但我猜这是因为我没有在这个命令中提供CA证书(我使用的是MacOS)。可能相关,也可能不相关,因为我对 postgres 没有这个问题,例如:
verify error:num=19:self signed certificate in certificate chain verify return:0 4644699756:error:1401E410:SSL routines:CONNECT_CR_FINISHED:sslv3 alert handshake failure:/AppleInternal/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-47.100.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 40
然后我在golang中使用下面的tls.Config设置:
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert}, // from tls.LoadX509KeyPair
RootCAs: caCertPool,
CipherSuites: []uint16{
tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, // these look like they match the Cipher above
tls.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
},
CurvePreferences: []tls.CurveID{tls.CurveP521, tls.CurveP384, tls.CurveP256},
PreferServerCipherSuites: true,
InsecureSkipVerify: true,
MinVersion: tls.VersionTLS10,
}
我仍然有同样的问题。我非常怀疑是图书馆的问题,一定是我做错了什么,但那是什么?
我复制了你的设置。它不起作用,因为您需要使用 client 证书配置 AMQP 连接。
使用mkcert:mkcert -client rabbitmq.test localhost 127.0.0.1 ::1(注意-client标志)。
在此之后,您只需要使用 tls.LoadX509KeyPair 将客户端证书传递到您的 AMQP tlsConfig 中,它应该就可以工作了:
cert, err := tls.LoadX509KeyPair("./rabbitmq.test+3-client.pem", "./rabbitmq.test+3-client-key.pem")
// Load CA cert
caCert, err := ioutil.ReadFile("./rootCA.pem") // The same you configured in your MQ server
if err != nil {
log.Fatal(err)
}
caCertPool := x509.NewCertPool()
caCertPool.AppendCertsFromPEM(caCert)
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert}, // from tls.LoadX509KeyPair
RootCAs: caCertPool,
// ...other options are just the same as yours
}
conn, err := amqp.DialTLS("amqps://test:secret@127.0.0.1:5671", tlsConfig)
if err != nil {
panic(err) // does not panic!
}
// ... application code
PS:在我的设置中,我使用了一些与您不同的名称 (user/password/container),但这些应该无关紧要