tls: сбой рукопожатия при включении tls для RabbitMQ с помощью streadway / amqp

Question

Я пытаюсь подключиться к RabbitMQ с помощью amqps:// в Go, используя streadway / amqp. Я могу успешно подключиться к amqp://. При включении TLS и использовании amqps:// я получаю следующую ошибку:

panic: remote error: tls: handshake failure

RabbitMQ работает в docker со следующими переменными и настройками среды:

environment:
    RABBITMQ_SSL_CACERTFILE: /ca_certificate.pem
    RABBITMQ_SSL_CERTFILE: /server_certificate.pem
    RABBITMQ_SSL_KEYFILE: /server_key.pem
ports:
    - 5671:5671 # Note that 5671 is for tls and 5672 is non-tls
volumes:
    - ./ca_certificate.pem:/ca_certificate.pem:ro
    - ./server_certificate.pem:/server_certificate.pem:ro
    - ./server_key.pem:/server_key.pem:ro

Я попробовал следующее с amqp / streadway :

err := amqp.DialTLS(amqps://guest:guest@localhost:5671", nil)
if err != nil {
    panic(err)
}

Я также пробовал читать файлы сертификатов, создавать пару ключей и добавлять центр сертификации в пул сертификатов и использовать его таким образом в tls.Config{} со следующими функциями:

• tls.LoadX509KeyPair()
• x509.NewCertPool().AppendCertsFromPEM()

Я генерирую сертификаты с mkcert для 127.0.0.1, localhost, rabbitmq.

---

Согласно некоторым ответам, не связанным с RabbitMQ, некоторые люди предполагают, что шифры могут быть неправильными. Итак, я посмотрел, какие шифры использует rabbitmq:

$ openssl s_client -connect localhost:5671 -tls1

Protocol  : TLSv1
Cipher    : ECDHE-RSA-AES256-SHA
<etc etc...>
Verify return code: 0 (ok)

Когда я запускаю указанную выше команду, также есть одна или две ошибки, но я предполагаю, что это потому, что я не предоставляю сертификат CA в этой команде (я использую MacOS). Может быть, связано, а может и нет, так как у меня нет этой проблемы с postgres, например:

ошибка проверки: num = 19: самоподписанный сертификат в цепочке сертификатов проверка возврата: 0 4644699756: ошибка: 1401E410: подпрограммы SSL: CONNECT_CR_FINISHED: ошибка квитирования предупреждения sslv3: /AppleInternal/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-47.100.4/libressl-2.8/ssl/ssl**pkt. : 1200: Номер предупреждения SSL 40

Затем я использую следующие настройки tls.Config в golang:

tlsConfig := &tls.Config{
    Certificates: []tls.Certificate{cert}, // from tls.LoadX509KeyPair
    RootCAs:      caCertPool,
    CipherSuites: []uint16{
        tls.TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, // these look like they match the Cipher above
        tls.TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
    },
    CurvePreferences:         []tls.CurveID{tls.CurveP521, tls.CurveP384, tls.CurveP256},
    PreferServerCipherSuites: true,
    InsecureSkipVerify:       true,
    MinVersion:               tls.VersionTLS10,
}

У меня все еще та же проблема. Я очень сомневаюсь, что это библиотека, должно быть, я что-то делаю не так, но что это?

Answer 1

Я воспроизвел вашу установку. Это не работает, потому что вам нужно настроить соединение AMQP с сертификатами client .

Использование mkcert : mkcert -client rabbitmq.test localhost 127.0.0.1 ::1 (обратите внимание на флаг -client) .

После этого вам просто нужно передать сертификаты клиентов в ваш AMQP tlsConfig с помощью tls.LoadX509KeyPair, и он должен просто работать:

    cert, err := tls.LoadX509KeyPair("./rabbitmq.test+3-client.pem", "./rabbitmq.test+3-client-key.pem")

    // Load CA cert
    caCert, err := ioutil.ReadFile("./rootCA.pem") // The same you configured in your MQ server
    if err != nil {
        log.Fatal(err)
    }
    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(caCert)

    tlsConfig := &tls.Config{
        Certificates: []tls.Certificate{cert}, // from tls.LoadX509KeyPair
        RootCAs:      caCertPool,
        // ...other options are just the same as yours
    }

    conn, err := amqp.DialTLS("amqps://test:secret@127.0.0.1:5671", tlsConfig)
    if err != nil {
        panic(err) // does not panic!
    }

    // ... application code

PS: в моей настройке я использовал некоторые другие имена (пользователь / пароль / контейнер), отличные от ваших, но они не должны иметь значения