认证参考官网,但是官网有一个坑,下面会讲到。
1.创建一个我文件夹mkdir cert
用于存储一会儿生成的文件
2.在cert.sh
脚本中写入如下内容
#!/bin/bash
#Step 1
keytool -keystore server.keystore.jks -alias localhost -validity 365 -genkey
#Step 2
openssl req -new -x509 -keyout ca-key -out ca-cert -days 365
keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert
keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert
#Step 3
keytool -keystore server.keystore.jks -alias localhost -certreq -file cert-file
openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 365 -CAcreateserial -passin pass:test1234
keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias localhost -import -file cert-signed
3.执行上述脚本。会出现很多次提示输入密码等,根据实际情况输入即可。
在当前目录下会生成如下内容
➜ ll
总用量 40K
-rw-rw-r-- 1 root root 1.4K 1月 9 18:55 ca-cert
-rw-rw-r-- 1 root root 41 1月 9 18:55 ca-cert.srl
-rw------- 1 root root 1.9K 1月 9 18:54 ca-key
-rw-rw-r-- 1 root root 1.6K 1月 9 18:55 cert-file
-rw-rw-r-- 1 root root 2.0K 1月 9 18:55 cert-signed
-rw-rw-r-- 1 root root 1.1K 1月 9 18:55 client.truststore.jks
-rwxrwxr-x 1 root root 687 1月 9 18:53 gen_cert.sh
-rw-rw-r-- 1 root root 4.1K 1月 9 18:55 server.keystore.jks
-rw-rw-r-- 1 root root 1.1K 1月 9 18:55 server.truststore.jks
4.server.properties
文件中添加如下配置,注意jks
结尾文件的路径
listeners=SSL://0.0.0.0:8082,CONTROLLER://:9093
advertised.listeners=SSL://12.120.20.3:8082
ssl.keystore.location=/data/cert/server.keystore.jks
ssl.keystore.password=admin
ssl.key.password=admin
ssl.truststore.location=/data/cert/server.truststore.jks
ssl.truststore.password=admin
# 这一行官方文档没有,加上,否则可能报错,No subject alternative names present
ssl.endpoint.identification.algorithm=
# inter.broker.listener.name=PLAINTEXT # 这句注释掉,加入下面这句
security.inter.broker.protocol=SSL
5.重启kafka
6.控制台生产者消费者client-ssl.properties(名称位置都随意,在使用的时候会指定文件)配置文件内容可以共用一个,写入如下内容。如果不需要控制台测试可以不写
security.protocol=SSL
ssl.truststore.location=/data/cert/client.truststore.jks
ssl.truststore.password=admin
# 这句必须有,否则报错:No subject alternative names present
ssl.endpoint.identification.algorithm=
控制台生产者:bin/kafka-console-producer.sh --topic aa --bootstrap-server 172.20.2.3:8082 --producer.config config/kraft/client-ssl.properties。注意这里指定了上述配置我文件。
控制台消费者:bin/kafka-console-consumer.sh --bootstrap-server 172.20.2.3:8082 --topic aa --consumer.config config/kraft/client-ssl.properties。同样的这里指定了上述配置文件。
7.Springboot集成ssl认证的kafka
spring:
kafka:
bootstrap-servers: 172.20.2.3:8082
consumer:
key-deserializer: org.apache.kafka.common.serialization.StringDeserializer
value-deserializer: org.apache.kafka.common.serialization.StringDeserializer
# 主要加入下面10行
ssl:
trust-store-password: admin
trust-store-location: client.truststore.jks
security:
protocol: SSL
properties:
ssl:
endpoint:
identification:
algorithm: ''
producer:
key-serializer: org.apache.kafka.common.serialization.StringSerializer
value-serializer: org.apache.kafka.common.serialization.StringSerializer
# 主要加入下面10行
security:
protocol: SSL
properties:
ssl:
endpoint:
identification:
algorithm: ''
ssl:
trust-store-password: admin
trust-store-location: client.truststore.jks