kafka学习笔记十kafka-SSL安全认证机制

最新推荐文章于 2024-07-29 10:11:27 发布
最新推荐文章于 2024-07-29 10:11:27 发布
阅读量7.2k 收藏 6
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hwhanwan/article/details/82216016
版权
本文详细介绍了Kafka的SSL安全认证机制,从生成配置cert开始,包括server和client keystore的创建、CA证书的导入导出,以及如何使用CA证书进行签名。接着,文章讲解了如何修改kafka配置文件server.properties,启动kafka程序,并创建clientssl.properties。最后通过创建topic、使用openssl工具调试SSL配置,以及console producer和consumer进行消息的生产和消费,验证SSL配置的正确性。
摘要由CSDN通过智能技术生成

一、生成配置cert

1.1生成 server keystore

[root@iZbp19pf0xgaj0oo0041u6Z cert]# keytool -keystore server.keystore.jks -alias kafka-server -validity 365 -keyalg RSA -genkey
Enter keystore password:  
Re-enter new password: 
What is your first and last name?
  [Unknown]:  hanwan
What is the name of your organizational unit?
  [Unknown]:  kafka
What is the name of your organization?
  [Unknown]:  kafka
What is the name of your City or Locality?
  [Unknown]:  HZ
What is the name of your State or Province?
  [Unknown]:  ZJ
What is the two-letter country code for this unit?
  [Unknown]:  CN
Is CN=hanwan, OU=kafka, O=kafka, L=HZ, ST=ZJ, C=CN correct?
  [no]:  YES^H^H

Enter key password for <kafka-server>
        (RETURN if same as keystore password):  
Re-enter new password: 

Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore server.keystore.jks -destkeystore server.keystore.jks -deststoretype pkcs12".
[root@iZbp19pf0xgaj0oo0041u6Z cert]# keytool -list server.keystore.jks -v
Illegal option:  server.keystore.jks
keytool -list [OPTION]...

Lists entries in a keystore

Options:

 -rfc                            output in RFC style
 -alias <alias>                  alias name of the entry to process
 -keystore <keystore>            keystore name
 -storepass <arg>                keystore password
 -storetype <storetype>          keystore type
 -providername <providername>    provider name
 -providerclass <providerclass>  provider class name
 -providerarg <arg>              provider argument
 -providerpath <pathlist>        provider classpath
 -v                              verbose output
 -protected                      password through protected mechanism

Use "keytool -help" for all available commands
[root@iZbp19pf0xgaj0oo0041u6Z cert]# keytool -list -keystore server.keystore.jks -v
Enter keystore password:  
Keystore type: jks
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: kafka-server
Creation date: Aug 30, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=hanwan, OU=kafka, O=kafka, L=HZ, ST=ZJ, C=CN
Issuer: CN=hanwan, OU=kafka, O=kafka, L=HZ, ST=ZJ, C=CN
Serial number: 1a0a5446
Valid from: Thu Aug 30 09:13:14 CST 2018 until: Fri Aug 30 09:13:14 CST 2019
Certificate fingerprints:
         MD5:  DF:79:13:05:23:4F:56:FB:7C:E4:F1:33:C0:9F:53:61
         SHA1: CD:AE:2F:5B:F9:A1:11:4B:D5:8C:E2:52:2E:3E:0A:59:A2:F2:8A:64
         SHA256: 30:B1:0B:39:C1:AB:FC:AD:DD:86:C8:F8:F6:04:0C:71:A6:10:61:7D:37:91:2F:72:53:4C:A0:FC:57:7E:A9:2A
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions: 

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: AB 31 16 F2 62 95 41 F2   2E C0 A2 49 A1 85 61 C1  .1..b.A....I..a.
0010: 0C C6 A1 83                                        ....
]
]



*******************************************
*******************************************



Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore server.keystore.jks -destkeystore server.keystore.jks -deststoretype pkcs12".

1.2生成client keystore

[root@iZbp19pf0xgaj0oo0041u6Z cert]# keytool -keystore client.keystore.jks -alias kafka-client -validity 365 -keyalg RSA -genkey    
Enter keystore password:  
Re-enter new password: 
What is your first and last name?
  [Unknown]:  hanwan
What is the name of your organizational unit?
  [Unknown]:  kafka
What is the name of your organization?
  [Unknown]:  kafka
What is the name of your City or Locality?
  [Unknown]:  HZ
What is the name of your State or Province?
最低0.47元/天 解锁文章
MR_ROBIT
关注
java 密钥格式_java – 无法更改密钥库格式
weixin_42298878的博客
03-07 504
它似乎是keytool显示的错误,而不是它的作用.考虑以下实验.首先,我的jdk版本是1.8.0_152:excalibur:~ ronan$java -versionjava version "1.8.0_152"Java(TM) SE Runtime Environment (build 1.8.0_152-b16)Java HotSpot(TM) 64-Bit Server VM (buil...
java密钥库口令_java - keytool错误密钥库被篡改,或密码在
weixin_32102305的博客
02-16 3289
java - keytool错误密钥库被篡改,或密码在我在本地计算机上生成证书时遇到以下错误。C:\Users\abc>keytool -genkey -alias tomcat -keyalg RSAEnter keystore password:keytool error: java.io.IOException: Keystore was tampered with, or pas...
kafka 认证
刘光华的专栏
10-13 4607
简介kafka从0.9版本开始引入安全体系(1)支持brokers和client之间的连接认证。使用SSL或者SASLSASL/GSSAPI (Kerberos) - starting at version 0.9.0.0 SASL/PLAIN - starting at version 0.10.0.0 SASL/SCRAM-SHA-256 and SASL/SCRAM-SHA-512 - sta
keytool/JDK 秘钥证书工具用法解析
weixin_33935505的博客
09-29 299
keytool是一个基于jdk的秘钥证书工具;在上一篇tomcat集成ssl中,我们使用了keytool生成了.keystore秘钥文件,此篇我们就来介绍下该工具。先看下前篇的用法1、keytool生成.keystore,密码及关键信息请自行补足keytool-genkey-aliastomcat-keyalgRSA-keystore/home/tomcat/....
Kafka动态授权认证:利用SASL/SCRAM机制提升安全
最新发布
2401_85789772的博客
07-29 477
Apache Kafka是一个流行的分布式流处理平台,其安全性对于保护数据传输至关重要。SASL/SCRAM(Simple Authentication and Security Layer/Salted Challenge Response Authentication Mechanism)是一种认证机制,可以为Kafka集群提供动态授权认证。本文将探讨如何基于SASL/SCRAM实现Kafka的动态授权认证,增强系统的安全性。
kafka使用ssl加密和认证
每个人都是一道菜。。。
04-28 4840
学习kafka的人都知道,kafka的默认端口是9092,且消费kafka消息的命令也极其简单。现在随着kafka在消息传输应用中使用的越来越广泛,那么生产环境中消息的保密性也变的重要了,所以生产环境使用ssl认证kafka是比较必要的。 ...
Kafka学习笔记.rar
03-21
Kafka学习笔记》 Apache Kafka是一款开源的流处理平台,由LinkedIn开发并捐赠给了Apache软件基金会。它最初设计为一个高吞吐量、低延迟的消息队列系统,但现在已经成为大数据领域的重要组件,广泛用于实时数据...
kafka相关内容 的学习笔记
06-27
- **安全性**:启用SSL/TLS加密和认证,确保数据传输安全。 这个学习笔记将涵盖Kafka的安装、配置、API使用、性能优化以及与其他系统的集成等内容,帮助你深入理解和掌握这一强大的流处理平台。通过实践,你将能...
Kafka学习笔记(三)Kafka基础设施评估及服务器端配置
小小马里奥的博客
02-13 1856
Kafka学习笔记(三)Kafka基础设施评估及服务器端配置Kafka基础设施评估操作系统磁盘选型磁盘容量规划方法带宽规划方法Kafka服务器端重要配置静态配置(server.properties)存储信息相关【推荐】log.dirs【不推荐】log.dirZooKeeper相关【推荐】zookeeper.connectBroker与Client端连接配置【推荐】listeners【参考】advertised.listenersTopic管理配置(Broker作用域下)【推荐】auto.create.top
Kafka学习笔记——centos7下kafka安装配置与验证
路漫漫,水迢迢
06-17 9040
简介我们先看看官方给出的kafka分布式架构图 多个 broker 协同合作,producer 和 consumer 部署在各个业务逡辑中被频繁的调用,三者通过 zookeeper管理协调请求和转収。返样一个高怅能的分布式消息収布不订阅系统就完成了。 我们以一个broker为例介绍下整个消息系统的启动过程 整个系统运行的顺序: 1.启劢 zookeeper 的 server 2.
Kafka配置SSL加密传输
qq_41527073的博客
11-04 8246
Kafka配置SSL加密传输 一、证书配置 1、生成证书 如我输入命令如下:依次是 密码—重输密码—名与姓—组织单位—组织名—城市—省份—国家两位代码—密码—重输密码,后面告警不用管,此步骤要注意的是,名与姓这一项必须输入域名,如 “localhost”,切记不可以随意写,我曾尝试使用其他字符串,在后面客户端生成证书认证的时候一直有问题。 keytool -keystore server.keystore.jks -alias localhost -validity 3650 -genkey Enter k
java kafka ssl_kafka SSL配置
weixin_39602280的博客
02-25 1654
12月 26, 2016 |Nix.Huang一、证书产生#CA产生自己的私钥(存于ca-key文件)和证书(存于ca-cert文件),在当前目录(本文由javacoder.cn博主整理,转载请注明出处)openssl req -new -x509 -keyout ca-key -out ca-cert -days 365#在kafka服务器上执行,如果有多台服务器,请在每台上都执行。-alias...
Centos 8 下tomcat10.0.12搭建基于jdk的https加密访问
qq_58462846的博客
11-26 456
1.tomcat10.0.12的安装包上传到Linux服务器上,解压安装包,并启动. 可以用crt自带的ftp上传,也可以用samba上传,我已经上传好了,就不做演示了。我的是上传在了根目录。 [root@localhost /]# cd / [root@localhost /]# tar -zxvf ./apache-tomcat-10.0.12.tar.gz [root@localhost /]# mkdir /usr/local/tomcat [root@localhost /]# ...
Android应用构建:9:使用keytool创建APK文件使用的keystore
知行合一 止于至善
12-18 696
在前面的文章中我们使用Android Studio创建了签名用于APK文件的构建,这篇文章我们将使用keytool直接创建keystore,然后来验证APK构建是否正常,以及构建后的APK文件是否能够正常安装和使用。
kafka SSL证书生成及配置
Sy9876的专栏
08-15 8237
apache kafka可以使用SSL加密连接,还可以限制客户端访问, 给客户端发行证书,只允许持有证书的客户端访问。下面使用jdk的keytool工具来生成证书,配置kafka
我的keytool
wyqiang的专栏
01-04 1752
[root@localhost bin]# keytool -genkey -alias zljh  -keypass talent -keyalg RSA -keysize 1024 -validity 3650 -keystore /home/certificates/zljh.keystore -storepass talent What is your first and last na
linux系统添加根证书 linux证书信任列表
热门推荐
lemonzone2010的专栏
06-16 3万+
linux访问https证书问题 linux系统添加根证书 linux证书信任列表
java 数字证书 密钥库_java将SSL证书导入系统密钥库
weixin_33377571的博客
02-16 586
之前安装JIRA和Confluence,配置了SSL证书之后遇到应用程序链接的问题:SSL证书不被信任,导致JIRA和Confluence无法关联。尝试过很多办法无果之后打算放弃。最终还是放弃了......你以为这篇博客已经结束了?其实它并没有,我只是想凑个字数,让文章看起来饱满一些。因为解决的办法我已经找到了,而且很简单。———————————下面开始敲黑板,划重点—————————————1....
Kafka学习笔记(6)----Kafka使用Producer发送消息
05-23
Kafka 中,Producer 是用来发送消息到 Kafka 集群的组件。在本篇文章中,我们将介绍如何使用 Kafka 的 Java 客户端 API 来编写一个简单的 Producer。 1. 引入 Kafka 依赖 首先,需要在 Maven 或 Gradle 构建中引入 Kafka 客户端依赖: ```xml <dependency> <groupId>org.apache.kafka</groupId> <artifactId>kafka-clients</artifactId> <version>2.8.0</version> </dependency> ``` 2. 创建 Producer 实例 接下来,在 Java 代码中创建一个 KafkaProducer 实例: ```java Properties props = new Properties(); props.put("bootstrap.servers", "localhost:9092"); props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer"); props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer"); Producer<String, String> producer = new KafkaProducer<>(props); ``` 其中,bootstrap.servers 是必须设置的属性,用于指定 Kafka 集群中至少一个 Broker 的地址。key.serializer 和 value.serializer 用于指定消息的键和值的序列化器。这里我们使用的是 StringSerializer,也可以使用其他序列化器实现自定义序列化逻辑。 3. 发送消息 一旦创建了 KafkaProducer 实例,就可以使用它来发送消息到指定的 Kafka 主题: ```java ProducerRecord<String, String> record = new ProducerRecord<>("test-topic", "key", "value"); producer.send(record); ``` 这里的 ProducerRecord 构造函数中,第一个参数是要发送消息的主题名称,第二个参数是消息的键,第三个参数是消息的值。send() 方法用于将 ProducerRecord 发送到 Kafka 集群。 4. 关闭 Producer 在使用完 Producer 后,需要关闭它以释放资源: ```java producer.close(); ``` 完整代码示例: ```java import org.apache.kafka.clients.producer.*; import java.util.Properties; public class KafkaProducerExample { public static void main(String[] args) { Properties props = new Properties(); props.put("bootstrap.servers", "localhost:9092"); props.put("key.serializer", "org.apache.kafka.common.serialization.StringSerializer"); props.put("value.serializer", "org.apache.kafka.common.serialization.StringSerializer"); Producer<String, String> producer = new KafkaProducer<>(props); ProducerRecord<String, String> record = new ProducerRecord<>("test-topic", "key", "value"); producer.send(record); producer.close(); } } ``` 这就是一个简单的 Kafka Producer 的使用示例。在实际应用中,还可以根据需要设置其他属性,例如消息的分区策略、消息的压缩方式等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值