3.9 KiB
3.9 KiB
RabbitMQ 部署与 mTLS 证书签发指南
一、 证书签发 (PKI)
1. 准备工作
确保本地拥有根 CA 文件:ca_certificate.pem 和 cakey.pem
2. 生成 RabbitMQ 服务端证书
服务端证书必须包含 serverAuth 权限,并涵盖所有访问域名和 IP
配置文件 server.conf 关键点:
- CN:
rabbitmq-server - SAN (alt_names): 必须包含
localhost和127.0.0.1以适配 SSH 隧道
# 1. 生成服务端私钥
openssl genrsa -out server_key.pem 2048
# 2. 生成签名请求 (CSR)
openssl req -new -key server_key.pem -out server_cert.csr -config server.conf
# 3. 使用 v3_server 扩展签发
openssl x509 -req -in server_cert.csr -CA ca_certificate.pem -CAkey cakey.pem -CAcreateserial \
-out server_certificate.pem -days 730 -sha256 \
-extfile server.conf -extensions v3_server
3. 生成客户端证书 (modelRT / eventRT)
注意:客户端证书必须包含 clientAuth 扩展,否则会导致 403 错误
签发 modelRT 证书
# 1. 生成私钥
openssl genrsa -out modelrt_client_key.pem 2048
# 2. 生成 CSR (CN 必须匹配 rabbitmq 里的用户名: modelrt-client)
openssl req -new -key modelrt_client_key.pem -out modelrt_client_cert.csr -config modelrt.conf
# 3. 关键:使用 v3_client 扩展签发
openssl x509 -req -in modelrt_client_cert.csr -CA ca_certificate.pem -CAkey cakey.pem -CAcreateserial \
-out modelrt_client_cert.pem -days 730 -sha256 \
-extfile modelrt.conf -extensions v3_client
(eventRT 证书签发流程同上,只需更换 eventrt.conf 配置文件)
二、 RabbitMQ 服务端部署 (K8s)
1. 配置用户与权限
修改 rabbitmq-users-config.yaml,确保用户标签为 management 或 administrator,并赋予 / 的权限
# 关键部分:definitions.json
{
"name": "modelrt-client",
"password_hash": "",
"tags": ["management"]
}
2. 应用 Kubernetes 配置
# 1. 应用用户定义
kubectl apply -f rabbitmq-users-config.yaml
# 2. 创建插件 ConfigMap
kubectl create configmap rabbit-plugins-conf
--from-literal=enabled_plugins="[rabbitmq_auth_mechanism_ssl, \
rabbitmq_management, rabbitmq_management_agent, \
rabbitmq_prometheus, rabbitmq_web_dispatch]."
# 3. 创建证书 Secret
kubectl create secret generic rabbitmq-certs \
--from-file=ca.pem=ca_certificate.pem \
--from-file=server.pem=server_certificate.pem \
--from-file=server_key.pem=server_key.pem
# 4. 应用部署文件
kubectl apply -f rabbitmq-config.yaml
kubectl apply -f rabbitmq-deployment.yaml
kubectl apply -f rabbitmq-service.yaml
三、 开发环境网络配置 (SSH 隧道)
如果你在 Mac 上开发,RabbitMQ 在远程 Linux 的 Minikube 中,请执行以下命令建立加密隧道:
# 将远程 Minikube 中 rabbitMQ service 的 NodePort (30671) 映射到 Mac 本地的 5671
ssh -L 5671:<minikube-ip>:30671 <host-user>@host-ip
四、 Go 程序配置 (config.yaml)
确保客户端配置指向隧道入口,并开启 TLS:
rabbitmq:
host: "localhost"
port: 5671
server_name: "rabbitmq-server"
ca_cert_path: "./configs/certs/ca_certificate.pem"
client_cert_path: "./configs/certs/modelrt_client_cert.pem"
client_key_path: "./configs/certs/modelrt_client_key.pem"
五、 验证与排查
1. 证书权限检查
运行以下命令,确信输出中有 TLS Web Client Authentication:
openssl x509 -in modelrt_client_cert.pem -noout -text | grep -A 1 "Extended Key Usage"
2. 握手连通性验证
openssl s_client -connect localhost:5671 \
-cert modelrt_client_cert.pem \
-key modelrt_client_key.pem \
-CAfile ca_certificate.pem
预期结果:看到 Verify return code: 0 (ok)
3. 日志检查
如果连接成功,RabbitMQ 日志应显示:
connection <xxx>: user 'modelrt-client' authenticated and granted access to vhost '/'