在 kafka 的 broke 和 client 之间加入 SSL 双向认证

最新推荐文章于 2024-03-23 21:12:26 发布
最新推荐文章于 2024-03-23 21:12:26 发布
阅读量4.4k 收藏 9
点赞数 6
分类专栏: 乱七八糟的软件 文章标签: kafka SSL 双向认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hohoo1990/article/details/79110031
版权

参考:https://kafka.apache.org/documentation/#security

单向认证

首先实现单向的认证,即,client 对 broker 的认证。就像浏览器对服务器的认证一样。
注:密钥生成过程中的密码统一为test123。

为broke生成keystore

第一步是为集群的每台机器生成密钥和证书,可以使用java的keytool来生产。我们将生成密钥到一个临时的密钥库,之后我们可以导出并用CA签名它。
keytool 使用可以参考java中Keytool的使用总结

keytool -genkey -keystore server.keystore.jks -alias localhost -validity 365 -keyalg RSA

可以使用

keytool -list -v -keystore server.keystore.jks

来查看证书的信息。
可以看到这个仓库里面有一个刚才生成的证书,不过,它包含了哪些含义呢?待查??????????????

生成CA

通过第一步,集群中的每台机器都生成了一个证书来识别机器。但是,证书是未签名的,这意味着攻击者可以创建一个这样的证书来假装成任何机器。因此需要对这些证书进行签名来防止伪造。
在浏览网站的时候,使用HTTPS的网站的证书是由受信任的第三方颁发的,那么这里可以模拟一个假的CA中心,只要支持签名即可。
下面使用 OpenSSL 来生成一个私钥和一个证书,有效期为365天

openssl req -new -x509 -keyout ca-key -out ca-cert -days 365

然后会生成 ca-key 和 ca-cert 两个文件。

  • ca-key:模拟CA的私钥
  • ca-cert:模拟CA的证书

签名

用上一步生成的 CA 来签名第一步生成的证书,证书哪里来?从第一步生成的 server.keystore.jks 里面导出来。
导出证书,命名为 server.crt。

keytool -keystore server.keystore.jks -alias localhost -certreq -file server.crt

然后用刚才在第二步生成的CA的私钥对刚才导出的证书签名,签名后的证书命名为 server-signed.crt。

openssl x509 -req -CA ca-cert -CAkey ca-key -in server.crt -out server-signed.crt -days 365 -CAcreateserial -passin pass:test123

命令成功执行后,会生成两个文件server-signed.crt和 ca-cert.srl,ca-cert.srl 是 ca-cert的序列号文件,由-CAcreateserial参数生成的,不知道什么用????????
最后,将CA的证书和已经签名的证书导入秘钥仓库:

keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias localhost -import -file server-signed.crt

使 client 信任broke

为了使 client 信任broke,就需要将broker端的证书加入到客户端信任库里面,那么,按照道理来说,想让client信任所有的broke,那么就需要将所有的broke的证书添加到client的信任列表里面,那么就增加了不好操作性,比如说我新增了一个broke,难道还要挨个通知client增加信任吗?当然不可能。
证书签名体系中,有一个信任链的概念,就是说,如果使用证书A签名了证书B、C、D,那么只要信任了 A,就会信任B、C、D。这样来说就好办了,只要信任CA的证书,就可以信任所有它签名的证书了。

keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert

启动broke

在 config/server.properties 文件里面修改如下项:
listeners如果只支持SSL的话,就需要把 security.inter.broker.protocol 也配置为 SSL,即内部交流方式也为SSL。

listeners=PLAINTEXT://10.40.20.61:9092,SSL://10.40.20.61:9093
ssl.keystore.location=/usr/local/kafka_2.11-0.10.1.0/serverssl/server.keystore.jks
ssl.keystore.password=test123
ssl.key.password=test123

查看日志,无错为启动成功。

启动客户端

这一步,需要把上面生成的 client.truststore.jks 放到客户端侧。
我使用的是java客户端,以消费者为例,连接broke的配置需要额外添加一下几行:

        props.put("security.protocol", "SSL");
        props.put("ssl.truststore.location", "D:\\client.truststore.jks");
        props.put("ssl.truststore.password", "test123");

不管是什么客户端,也就是增加这几个参数,这也是最小配置

        security.protocol=SSL
        ssl.truststore.location=/var/private/ssl/kafka.client.truststore.jks
        ssl.truststore.password=test1234

验证结果

经过测试,结果正确。
到这里,就可以实现client对broke的认证,如果是任意的一个broke,client是会拒绝连接的。但是,在kafka应用里面,好像并不是很实用,除了数据的加密。更多情况下,broke要防止任意的client进行连接,不能让client随意连接,那么就需要增加broke对client的认证。
其实原理和上面的是一样的,就是为client生成证书,然后让broke信任。

增加broke对client的认证

首先生成各种证书

#为client生成证书
keytool -genkey -keystore client.keystore.jks -alias localhost -validity 365 -keyalg RSA
#为client生成CA
openssl req -new -x509 -keyout ca-key -out ca-cert -days 365
#导出证书
keytool -keystore client.keystore.jks -alias localhost -certreq -file client.crt
#签名
openssl x509 -req -CA ca-cert -CAkey ca-key -in client.crt -out client-signed.crt -days 365 -CAcreateserial -passin pass:test123
#导入
keytool -keystore client.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore client.keystore.jks -alias localhost -import -file client-signed.crt

keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert

配置broke

ssl.truststore.location=/usr/local/kafka_2.11-0.10.1.0/clientssl/server.truststore.jks
ssl.truststore.password=test123

ssl.client.auth=required

启动。

配置client

在client端,增加连接参数:

ssl.keystore.location=/var/private/ssl/kafka.client.keystore.jks
ssl.keystore.password=test123
ssl.key.password=test123

那么,我这个java客户端,就可以这么添加:

        props.put("ssl.keystore.location", "D:\\client.keystore.jks");
        props.put("ssl.keystore.password", "test123");
        props.put("ssl.key.password", "test123");

启动client

我以消费者为例,看是否能够连接成功,如果能够连接成功,那就也就意味着配置成功了。
幸运的,连接成功了,模拟发送数据也能够接收到。

总结

没啥可总结的,把配置合在一起贴一下吧。

broke 配置 server.properties:

listeners=PLAINTEXT://10.40.20.61:9092,SSL://10.40.20.61:9093

ssl.client.auth=required

ssl.keystore.location=/usr/local/kafka_2.11-0.10.1.0/serverssl/server.keystore.jks
ssl.keystore.password=test123
ssl.key.password=test123
ssl.truststore.location=/usr/local/kafka_2.11-0.10.1.0/clientssl/server.truststore.jks
ssl.truststore.password=test123

client 连接参数:

        props.put("bootstrap.servers", "10.40.20.61:9093");
        props.put("group.id", "test");
        props.put("enable.auto.commit", "true");
        props.put("auto.commit.interval.ms", "1000");
        props.put("key.deserializer", "org.apache.kafka.common.serialization.StringDeserializer");
        props.put("value.deserializer", "org.apache.kafka.common.serialization.StringDeserializer");

        props.put("security.protocol", "SSL");
        props.put("ssl.truststore.location", "D:\\client.truststore.jks");
        props.put("ssl.truststore.password", "test123");

        props.put("ssl.keystore.location", "D:\\client.keystore.jks");
        props.put("ssl.keystore.password", "test123");
        props.put("ssl.key.password", "test123");
拖垃圾
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kafka ssl 安全认证详细配置
06-23
kafka ssl 安全认证详细配置
kafka添加ssl认证
01-07
主要是生成证书: 请先安装java和openssl. 生成证书脚本ca.sh: #!/bin/bash #Step 1 keytool -keystore /var/soft/ca/server.keystore.jks -alias localhost -validity 365 -genkey #Step 2 openssl req -new -x509 -keyout ca-key -out ca-cert -days 365 keytool -keystore /var/soft/ca/server.truststore.jks -alias CARoot -import -file
Kafka单机到集群- 自动化- SSL以及全部配置文件 作者精选
最新发布
qq_41574772的博客
03-23 2158
本文实现kafka集群的配置和启动过程。并将脚本自动化,使得通用性、独立性更强。1⃣️实现kafka集群从配置到启动可顺序执行ca.sh、ca2.sh、congfig.sh完成kafkaSSL&&配置文件更新。核心内容常见问题和解决方案(含快捷命令)、配置文件内容的填充、常量化配置到变量化实现。2⃣️脚本通用、独立。可复用 or 二次开发 实现SSL配置或中间件全局配置文件生成。:包含安装部署、配置项、api使用等详细信息附件:Kafka并不难学!
kafka client依赖包和示例代码
09-21
版本:kafka_2.12-0.10.2.1,生产者消费者示例代码,以及client相关包。 部分代码: public static KafkaProducer getProducer() { if (kp == null) { Properties props = new Properties(); props.put("bootstrap.servers", "127.0.0.1:9092"); props.put("acks", "0"); props.put("retries", 0); props.put("batch.size", 16384); props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer"); props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer"); kp = new KafkaProducer(props); } return kp; }
KafkaClient:基于Spring的Kafka控制台客户端
03-26
KafkaClient 基于Spring的Kafka控制台客户端 依存关系 至少:Java 11和Maven 3.6 构建Kafka客户端 mvn软件包-DskipTests = true 取决于 Kafka分支: : 运行Kafka客户端 从主题读取所有记录 java -jar target / kafkaclient-0.0.1-SNAPSHOT.jar读取 将记录写到主题 java -jar target / kafkaclient-0.0.1-SNAPSHOT.jar写入“ hello world”
Springboot集成使用阿里云kafka详细步骤
直到世界的尽头
03-29 9484
转载请注明出处:Springboot集成使用阿里云kafka详细步骤 明确连接认证类型 首先要明确使用哪种连接认证类型 Ons模式参考 https://github.com/AliwareMQ/aliware-kafka-demos/tree/master/kafka-java-demo/beta Ons模式的conf内容 KafkaClient { com.aliyun.open...
Kafka配置SSL加密传输
qq_41527073的博客
11-04 7846
Kafka配置SSL加密传输 一、证书配置 1、生成证书 如我输入命令如下:依次是 密码—重输密码—名与姓—组织单位—组织名—城市—省份—国家两位代码—密码—重输密码,后面告警不用管,此步骤要注意的是,名与姓这一项必须输入域名,如 “localhost”,切记不可以随意写,我曾尝试使用其他字符串,在后面客户端生成证书认证的时候一直有问题。 keytool -keystore server.keystore.jks -alias localhost -validity 3650 -genkey Enter k
大数据Hadoop之——Kafka安全机制(Kafka SSL认证实现)
匠人精神,持之以恒!
06-12 2553
Kafka0.9.0开始引入丰富的安全认证机制,实现基础安全用户认证,将kafka上云或进行多租户管理的必要步骤安全,目前kafka支持`SASL`、`SSL`、`Delegation Token`这三种认证机制。
Kafka认证
Linux_cui的博客
12-09 4345
kafka认证
Kafka SASL_SSL双重认证
weixin_44783506的博客
02-05 2644
kafka提供了多种安全认证机制,主要分为SASL和SSL两大类。在 Kafka 中启用 SASL_SSL 安全协议时,SASL 用于客户端和服务器之间的身份验证,SSL 则用于加密和保护数据的传输。不仅提供身份验证,还提供加密和数据保护的功能。因工作需要,需要在测试环境搭建一套基于SASL_SSL协议的kafka环境。坑比较多,经过两天的研究终于搞定了,特在此记录下。
Kafka配置SSL认证
热门推荐
JustryDeng
03-10 2万+
目录 Kafka配置SSL认证 使用kafka自带的消费者生产者测试一下 我是一只小小小小鸟~嗷!嗷! Kafka配置SSL认证 准备工作:生成SSL相关证书 注:详见https://blog.csdn.net/justry_deng/article/details/88383081。 注:其实对于本节内容来说,有SSL的服务端证书就够了。 第一步:修改kafka安装目录下conf...
kafka-schema-registry-client-6.2.2.jar
04-25
mvn install:install-file -DgroupId=io.confluent -DartifactId=kafka-schema-registry-client -Dversion=6.2.2 -Dfile=/root/kafka-schema-registry-client-6.2.2.jar -Dpackaging=jar 官网下载地址 packages....
tomcat + httpclient SSL单向认证https
dengjili的专栏
06-11 1280
环境准备 java环境 tomcat web容器 chrome浏览器 eclipse、maven等编写代码 keytool java内置生成证书秘钥工具 其他配置,如tomcat环境配置、hosts配置等 HTTPS原理 核心是引入第三方验证将核心key影藏在网络传输中 单向验证:客户端验证服务器的证书,服务器不验证客户端的证书。 秘钥和证书 生成服务器端的keystore. 生成jks格...
SpringBoot 集成 Kafka (SSL证书)
qq_50438358的博客
07-08 1462
SpringBoot 集成 Kafka (SSL证书)
Spring实现HTTPS方式访问服务(单向认证)
Staba的博客
11-24 3438
本文通过Spring来配置https服务,后续会将相关的知识内容简单讲解一下,该文章主要是https单向认证双向认证实现过程将在后续不久的另外一边文章涉及,感兴趣的小伙伴可以提前提供关注一下。
Kafka部署全攻略——Kafka SSL认证实现
bbsxb520的博客
06-28 723
kafkassl证书生成流程及认证实现
Kafka配置SSL安全认
m0_61332144的博客
02-28 2765
Kafka配置SSL安全认证
kafka开启SSL认证(包括内置zookeeper开启SSL
m0_37817986的博客
11-09 1340
zookeeper和kafkaSSL开启都可独立进行。
kafka 开启认证授权
卷心菜投手
10-10 2988
kafka Kraft 模式 用户名密码 认证
kafka指定client和group
05-18
Kafka中,可以指定client和group。 当你创建一个Kafka消费者时,你可以通过设置一个唯一的group ID来标识该消费者所属的组。这个group ID将会被用来协调消费者之间的消息分配,确保同一个分区内的消息只会被一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值