[英]tls: handshake failure when enabling tls for RabbitMQ with streadway/amqp
我正在尝试使用 stradway/amqp 在 Go 中使用amqps://
连接到 RabbitMQ。 我可以成功连接amqp://
。 启用 TLS 并使用amqps://
时,出现以下错误:
panic: remote error: tls: handshake failure
RabbitMQ 在 docker 中运行,具有以下环境变量和设置:
environment:
RABBITMQ_SSL_CACERTFILE: /ca_certificate.pem
RABBITMQ_SSL_CERTFILE: /server_certificate.pem
RABBITMQ_SSL_KEYFILE: /server_key.pem
ports:
- 5671:5671 # Note that 5671 is for tls and 5672 is non-tls
volumes:
- ./ca_certificate.pem:/ca_certificate.pem:ro
- ./server_certificate.pem:/server_certificate.pem:ro
- ./server_key.pem:/server_key.pem:ro
我用amqp/streadway尝试了以下操作:
err := amqp.DialTLS(amqps://guest:guest@localhost:5671", nil)
if err != nil {
panic(err)
}
我还尝试读取证书文件,创建密钥对,并将证书颁发机构附加到证书池,并在tls.Config{}
中以这种方式使用它,具有以下功能:
tls.LoadX509KeyPair()
x509.NewCertPool().AppendCertsFromPEM()
我使用mkcert为 127.0.0.1、localhost、rabbitmq 生成证书。
根据一些与 RabbitMQ 无关的答案,有些人认为密码可能是错误的。 所以我看了一下 rabbitmq 使用的密码:
$ openssl s_client -connect localhost:5671 -tls1
Protocol : TLSv1
Cipher : ECDHE-RSA-AES256-SHA
<etc etc...>
Verify return code: 0 (ok)
运行上述命令时也会出现一两个错误,但我猜是因为我没有在此命令中提供 CA 证书(我使用的是 MacOS)。 也许相关,也许不相关,因为我对 postgres 没有这个问题,例如:
验证错误:num=19:证书链中的自签名证书验证返回:0 4644699756:错误:1401E410:SSL 例程:CONNECT_CR_FINISHED:sslv3 警报握手失败:/AppleInternal/BuildRoot/Library/Caches/com.apple.xbs/Sources/ libressl/libressl-47.100.4/libressl-2.8/ssl/ssl_pkt.c:1200:SSL 警报号 40
然后我在 golang 中使用以下tls.Config
设置:
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert}, // from tls.LoadX509KeyPair
RootCAs: caCertPool,
CipherSuites: []uint16{
tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, // these look like they match the Cipher above
tls.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
},
CurvePreferences: []tls.CurveID{tls.CurveP521, tls.CurveP384, tls.CurveP256},
PreferServerCipherSuites: true,
InsecureSkipVerify: true,
MinVersion: tls.VersionTLS10,
}
我仍然有同样的问题。 我高度怀疑这是图书馆,它一定是我做错了什么,但它是什么?
我复制了你的设置。 它不起作用,因为您需要使用客户端证书配置 AMQP 连接。
使用mkcert : mkcert -client rabbitmq.test localhost 127.0.0.1::1
(注意-client
标志)。
在此之后,您只需使用 tls.LoadX509KeyPair 将客户端证书传递到您的 AMQP tls.LoadX509KeyPair
中,它应该可以正常工作:
cert, err := tls.LoadX509KeyPair("./rabbitmq.test+3-client.pem", "./rabbitmq.test+3-client-key.pem")
// Load CA cert
caCert, err := ioutil.ReadFile("./rootCA.pem") // The same you configured in your MQ server
if err != nil {
log.Fatal(err)
}
caCertPool := x509.NewCertPool()
caCertPool.AppendCertsFromPEM(caCert)
tlsConfig := &tls.Config{
Certificates: []tls.Certificate{cert}, // from tls.LoadX509KeyPair
RootCAs: caCertPool,
// ...other options are just the same as yours
}
conn, err := amqp.DialTLS("amqps://test:secret@127.0.0.1:5671", tlsConfig)
if err != nil {
panic(err) // does not panic!
}
// ... application code
PS:在我的设置中,我使用了一些与您不同的名称(用户/密码/容器),但这些应该是无关紧要的
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.