本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置 mTLS
<a name="configure-mtls"></a>

适用于 RabbitMQ 的 Amazon MQ 支持双向 TLS (mTLS)，以实现与各种终端节点和外部服务的安全连接。mTLS 要求客户端和服务器都使用证书进行身份验证，从而提高安全性。

**注意**  
只有适用于 RabbitMQ 版本 4 及更高版本的 Amazon MQ 才能使用私有证书颁发机构。

**重要**  
适用于 RabbitMQ 的 Amazon MQ 强制使用证书和私钥文件 Amazon ARNs 。有关更多详细信息，请参阅 [RabbitMQ 配置中的 ARN 支持](arn-support-rabbitmq-configuration.md)。

**Topics**
+ [AMQP 终端节点](#mtls-amqp-endpoint)
+ [RabbitMQ 管理插件](#mtls-management-plugin)
+ [RabbitMQ 2.0 插件 OAuth](#mtls-oauth2-plugin)
+ [RabbitMQ HTTP 身份验证插件](#mtls-http-plugin)
+ [RabbitMQ LDAP 插件](#mtls-ldap-plugin)
+ [AMQP 客户端连接](#mtls-amqp-client)

## AMQP 终端节点
<a name="mtls-amqp-endpoint"></a>

为与 AMQP 端点的客户端连接配置 mTLS。这与 SSL 证书身份验证一起使用。有关支持的配置，请参阅[SSL 证书身份验证](ssl-for-amq-for-rabbitmq.md)。

## RabbitMQ 管理插件
<a name="mtls-management-plugin"></a>

配置 mTLS 以连接到 RabbitMQ 管理接口。

**注意**  
管理 API 不支持严格的 mTLS。

`aws.arns.management.ssl.cacertfile`  
证书颁发机构文件，用于验证连接到管理接口的客户端证书。

`management.ssl.verify`  
对等验证模式。支持的值：`verify_none`，`verify_peer`

`management.ssl.depth`  
用于验证的最大证书链深度。

`management.ssl.hostname_verification`  
主机名验证模式。支持的值：`wildcard`，`none`

不支持以下 SSL 配置值：

### 查看完整清单
<a name="management-ssl-options-list-content"></a>
+ `management.ssl.cert`
+ `management.ssl.client_renegotiation`
+ `management.ssl.dh`
+ `management.ssl.dhfile`
+ `management.ssl.fail_if_no_peer_cert`
+ `management.ssl.honor_cipher_order`
+ `management.ssl.honor_ecc_order`
+ `management.ssl.key.RSAPrivateKey`
+ `management.ssl.key.DSAPrivateKey`
+ `management.ssl.key.PrivateKeyInfo`
+ `management.ssl.log_alert`
+ `management.ssl.password`
+ `management.ssl.psk_identity`
+ `management.ssl.reuse_sessions`
+ `management.ssl.secure_renegotiate`
+ `management.ssl.versions.$version`
+ `management.ssl.sni`

## RabbitMQ 2.0 插件 OAuth
<a name="mtls-oauth2-plugin"></a>

为从 Amazon MQ 到 2.0 身份提供商的连接配置 mTLS。 OAuth 有关支持的配置，请参阅[OAuth 2.0 身份验证和授权](oauth-for-amq-for-rabbitmq.md)。

## RabbitMQ HTTP 身份验证插件
<a name="mtls-http-plugin"></a>

为从 Amazon MQ 到 HTTP 身份验证服务器的连接配置 mTLS。有关支持的配置，请参阅[HTTP 身份验证和授权](http-for-amq-for-rabbitmq.md)。

## RabbitMQ LDAP 插件
<a name="mtls-ldap-plugin"></a>

为从亚马逊 MQ 到 LDAP 服务器的连接配置 mTLS。有关支持的配置，请参阅[LDAP 身份验证和授权](ldap-for-amq-for-rabbitmq.md)。

## AMQP 客户端连接
<a name="mtls-amqp-client"></a>

为联合和 shovel 使用的 AMQP 客户端连接配置 TLS 对等验证。有关更多信息，请参阅 [AMQP 客户端 SSL 配置](rabbitmq-amqp-client-ssl-configuration.md)。

**重要**  
Amazon MQ 目前不支持为 AMQP 客户端连接配置客户端证书。因此，federation 和 shovel 无法连接到需要客户端证书身份验证的启用 MTLS 的代理。