RabbitMQ CRL配置

Question

我一直试图在RabbitMQ中找到配置CRL检查的可用选项。反过来，RabbitMQ似乎依赖于Erlang的SSL库。不幸的是，我对Erlang知之甚少，所以我很难理解：

• 基于HTTP超时的CRL方法的确切语法(如果这是自动从cert的CRL信息中提取的话)
• 如果基于本地文件的CRL方法可用，则为“开箱即用”。

很难找到crl_cache配置选项的示例。有谁有更多的信息吗？

Answer 1

从RabbitMQ TLS支持页面的配置示例开始，添加crl_check和crl_cache选项，如下所示：

[
  {rabbit, [
     {ssl_listeners, [5671]},
     {ssl_options, [{cacertfile,"/path/to/testca/cacert.pem"},
                    {certfile,"/path/to/server/cert.pem"},
                    {keyfile,"/path/to/server/key.pem"},
                    {verify,verify_peer},
                    {fail_if_no_peer_cert,false}]},
                    {crl_check, true},
                    {crl_cache, {ssl_crl_cache, {internal, [{http, 5000}]}}}
   ]}
].

将crl_check设置为true意味着将检查整个证书链的CRL，如果缺少任何CRL，验证将失败。您可以将其设置为peer或best_effort；有关详细信息，请参阅二郎ssl模块文档。

在上面的示例中，我通过HTTP激活了CRLs的下载，超时时间为5秒(5000毫秒)。该URL来自证书中的cRLDistributionPoints扩展。

目前还没有现成的基于本地文件的CRL方法，但是我提交了拉扯请求，它允许您从本地目录获得CRL，就像Apache一样。