(一)Kafka 安全之使用 SSL 的加密和身份验证

最新推荐文章于 2024-06-19 07:12:57 发布
最新推荐文章于 2024-06-19 07:12:57 发布
阅读量1.2k 收藏 31
点赞数 28
分类专栏: Kafka-free 文章标签: kafka 安全 ssl 密钥和证书 public key private key 主机名验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrluo735/article/details/136865099
版权

目录

一. 前言

二. 使用 SSL 的加密和身份验证

2.1. 为每个 Kafka Broker 生成 SSL 密钥和证书

2.1.1. 主机名验证(Host Name Verification)

2.1.2. 注意(Note)

一. 前言

    SSL(Secure Sockets Layer)是一种网络协议,提供了一种在客户端和服务器之间建立安全连接的方法。启用 SSL 后,Kafka 集群中的所有数据传输,包括生产者、消费者与 Broker 之间的消息交互都会被加密,确保敏感信息在网络传输过程中不被窃听或篡改。

二. 使用 SSL 的加密和身份验证

原文引用:Apache Kafka allows clients to use SSL for encryption of traffic as well as authentication. By default, SSL is disabled but can be turned on if needed. The following paragraphs explain in detail how to set up your own PKI infrastructure, use it to create certificates and configure Kafka to use these.

    Apache Kafka 允许客户端使用 SSL 对流量进行加密和身份验证。默认情况下,SSL 是禁用的,但如果需要,可以打开。以下段落详细解释了如何设置自己的 PKI 基础设施,使用它来创建证书,并配置 Kafka 来使用这些证书。

2.1. 为每个 Kafka Broker 生成 SSL 密钥和证书

原文引用:The first step of deploying one or more brokers with SSL support is to generate a public/private keypair for every server. Since Kafka expects all keys and certificates to be stored in keystores we will use Java's keytool command for this task. The tool supports two different keystore formats, the Java specific jks format which has been deprecated by now, as well as PKCS12. PKCS12 is the default format as of Java version 9, to ensure this format is being used regardless of the Java version in use all following commands explicitly specify the PKCS12 format.

    部署一个或多个支持 SSL 的 Broker 程序的第一步是为每个服务器生成一个 public/priate 密钥对。由于 Kafka 希望所有密钥和证书都存储在密钥库中,因此我们将使用 Java 的 keytool 命令来完成此任务。该工具支持两种不同的密钥存储格式,一种是 Java 特定的 jks 格式(目前已弃用),另一种是 PKCS12。PKCS12 是 Java 9 版本的默认格式,为了确保无论使用的 Java 版本如何都使用此格式,以下所有命令都明确指定 PKCS12 格式。

> keytool -keystore {keystorefile} -alias localhost -validity {validity} -genkey -keyalg RSA -storetype pkcs12

原文引用:You need to specify two parameters in the above command:

  1. keystorefile: the keystore file that stores the keys (and later the certificate) for this broker. The keystore file contains the private and public keys of this broker, therefore it needs to be kept safe. Ideally this step is run on the Kafka broker that the key will be used on, as this key should never be transmitted/leave the server that it is intended for.
  2. validity: the valid time of the key in days. Please note that this differs from the validity period for the certificate, which will be determined in Signing the certificate. You can use the same key to request multiple certificates: if your key has a validity of 10 years, but your CA will only sign certificates that are valid for one year, you can use the same key with 10 certificates over time.

您需要在上面的命令中指定两个参数:

  1. keystorefile:存储此 Broker 的密钥(以及后来的证书)的密钥库文件。密钥库文件包含该 Broker 的私钥和公钥,因此需要保持安全。理想情况下,这一步骤是在密钥将在其上使用的Kafka Broker 上运行的,因为该密钥永远不应该被传输/离开其目的服务器。
  2. validity:密钥的有效时间,以天为单位。请注意,这与证书的有效期不同,该有效期将在签署证书时确定。您可以使用同一密钥申请多个证书:如果您的密钥的有效期为10年,但您的CA 只会签署有效期为一年的证书,那么您可以在一段时间内将同一密钥与10个证书一起使用。

原文引用:To obtain a certificate that can be used with the private key that was just created a certificate signing request needs to be created. This signing request, when signed by a trusted CA results in the actual certificate which can then be installed in the keystore and used for authentication purposes.


To generate certificate signing requests run the following command for all server keystores created so far.

    要获得可与刚创建的私钥一起使用的证书,需要创建证书签名请求。当由受信任的 CA 签名时,此签名请求会生成实际证书,然后可以将该证书安装在密钥库中并用于身份验证。

    要生成证书签名请求,请对迄今为止创建的所有服务器密钥库运行以下命令。

> keytool -keystore server.keystore.jks -alias localhost -validity {validity} -genkey -keyalg RSA -destkeystoretype pkcs12 -ext SAN=DNS:{FQDN},IP:{IPADDRESS1}

原文引用:This command assumes that you want to add hostname information to the certificate, if this is not the case, you can omit the extension parameter -ext SAN=DNS:{FQDN},IP:{IPADDRESS1}. Please see below for more information on this.

    此命令假定您要将主机名信息添加到证书中,如果不是这样,则可以省略扩展参数 -ext SAN=DNS:{FQDN},IP:{IPADDRESS1}。有关此方面的更多信息,请参见下文。

2.1.1. 主机名验证(Host Name Verification)

原文引用:Host name verification, when enabled, is the process of checking attributes from the certificate that is presented by the server you are connecting to against the actual hostname or ip address of that server to ensure that you are indeed connecting to the correct server.

    主机名验证(如果启用)是根据服务器的实际主机名或 ip 地址检查连接到的服务器提供的证书中的属性的过程,以确保您确实连接到了正确的服务器。

原文引用:The main reason for this check is to prevent man-in-the-middle attacks. For Kafka, this check has been disabled by default for a long time, but as of Kafka 2.0.0 host name verification of servers is enabled by default for client connections as well as inter-broker connections.

    进行此检查的主要原因是为了防止中间人攻击。对于 Kafka,此检查已被默认禁用很长一段时间,但从 Kafka 2.0.0 起,客户端连接和 Broker 间连接默认启用服务器的主机名验证。

原文引用:Server host name verification may be disabled by setting ssl.endpoint.identification.algorithm to an empty string.


For dynamically configured broker listeners, hostname verification may be disabled using kafka-configs.sh: 

可以通过将 ssl.endpoint.identification.agorithm 设置为空字符串来禁用服务器主机名验证。

对于动态配置的 Broker 监听器,可以使用 kafka-configs.sh 禁用主机名验证:

> bin/kafka-configs.sh --bootstrap-server localhost:9093 --entity-type brokers --entity-name 0 --alter --add-config "listener.name.internal.ssl.endpoint.identification.algorithm="

2.1.2. 注意(Note)

原文引用:Normally there is no good reason to disable hostname verification apart from being the quickest way to "just get it to work" followed by the promise to "fix it later when there is more time"!

    通常情况下,禁用主机名验证没有什么好的理由,除了这是“让它正常工作”的最快方法,然后承诺“稍后有更多时间时修复它”!

原文引用:Getting hostname verification right is not that hard when done at the right time, but gets much harder once the cluster is up and running - do yourself a favor and do it now!

    在正确的时间进行主机名验证并不是那么困难,但一旦集群启动并运行,就会变得非常困难——帮自己一个忙,现在就做!

原文引用:If host name verification is enabled, clients will verify the server's fully qualified domain name (FQDN) or ip address against one of the following two fields:

  1. Common Name (CN)
  2. Subject Alternative Name (SAN)

    如果启用了主机名验证,客户端将根据以下两个字段之一验证服务器的完全限定域名(FQDN)或 ip 地址:

  1. 通用名称(CN)。
  2. 使用者备选名称(SAN)

原文引用:While Kafka checks both fields, usage of the common name field for hostname verification has been deprecated since 2000 and should be avoided if possible. In addition the SAN field is much more flexible, allowing for multiple DNS and IP entries to be declared in a certificate.

    虽然 Kafka 同时检查这两个字段,但自2000年以来,使用通用名称字段进行主机名验证的做法一直受到反对,如果可能的话,应该避免使用。此外,SAN 字段更加灵活,允许在证书中声明多个 DNS 和 IP 条目。

原文引用:Another advantage is that if the SAN field is used for hostname verification the common name can be set to a more meaningful value for authorization purposes. Since we need the SAN field to be contained in the signed certificate, it will be specified when generating the signing request. It can also be specified when generating the keypair, but this will not automatically be copied into the signing request.

To add a SAN field append the following argument -ext SAN=DNS:{FQDN},IP:{IPADDRESS} to the keytool command:

    另一个优点是,如果 SAN 字段用于主机名验证,则出于授权目的,可以将通用名称设置为更有意义的值。由于我们需要在签名证书中包含 SAN 字段,因此在生成签名请求时会指定该字段。它也可以在生成密钥对时指定,但不会自动复制到签名请求中。

    要添加 SAN 字段,请将以下参数 -ext SAN=DNS:{FQDN},IP:{IPADDRESS} 附加到 keytool 命令:

> keytool -keystore server.keystore.jks -alias localhost -validity {validity} -genkey -keyalg RSA -destkeystoretype pkcs12 -ext SAN=DNS:{FQDN},IP:{IPADDRESS1}
流华追梦
关注
  • 28
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
cloudera 对kafka 安全、配置、优化和管理的建议 pdf
03-12
1. **权限控制**: Cloudera推荐使用Kerberos进行身份验证,以确保只有授权的用户和服务可以访问Kafka集群。Kerberos提供基于票证的认证,可防止未授权访问。 2. **SSL/TLS加密**: 为了保护数据在传输过程中的安全性...
kafka安全认证与授权(SASL-PLAIN)
wangluoanquan111的博客
02-22 1662
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。在每个Kafka broker的配置目录中添加一个经过适当修改的JAAS文件,类似于下面的文件,在本例中,我们将其称为kafka_server_jaas.conf。R匹配,则R没有关联的acl,因此除了超级用户之外,任何人都不允许访问R。
kafka java客户端加密_kafka消息加密(SASL/PLAIN)
weixin_42516657的博客
02-27 1790
kafka消息加密(SASL/PLAIN)具体的配置方式官网已经说的很清楚了(尽量去官网看)官网配置分为以下几个步骤1、 在conf文件目录下添加文件kafka_server_jaas.conf(文件目录 文件名随意)内容如下KafkaServer {org.apache.kafka.common.security.plain.PlainLoginModule requiredusername="...
(二)Kafka 安全使用 SSL加密身份验证
最新发布
流华追梦的专栏
06-19 903
接上一篇《(一)Kafka 安全使用 SSL加密身份验证》,本文从 2.2 小节开始。
Kafka配置SSL加密传输
qq_41527073的博客
11-04 8049
Kafka配置SSL加密传输 一、证书配置 1、生成证书 如我输入命令如下:依次是 密码—重输密码—名与姓—组织单位—组织名—城市—省份—国家两位代码—密码—重输密码,后面告警不用管,此步骤要注意的是,名与姓这一项必须输入域名,如 “localhost”,切记不可以随意写,我曾尝试使用其他字符串,在后面客户端生成证书认证的时候一直有问题。 keytool -keystore server.keystore.jks -alias localhost -validity 3650 -genkey Enter k
开启kafka密码认证
雅冰石的专栏
04-02 1万+
Kafka默认未开启密码认证,可以免密登录,太不安全,因此需要开启密码认证。 一 kafka认证方式类型 kafka提供了多种安全认证机制,主要分为SSL和SASL大类。其中SASL/PLAIN是基于账号密码的认证方式,比较常用 1.1 SSL 1.2 SASL 1.2.1 SASL/Kerberos 1.2.2 SASL/PLAIN 1.2.3 SASL/SCRAM 二 测试SASL/PLAIN进行身份验证 SASL/PLAIN是一种简单的用户名/密码身份..
大数据Hadoop之——Kafka安全机制(Kafka SSL认证实现)
匠人精神,持之以恒!
06-12 2605
Kafka0.9.0开始引入丰富的安全认证机制,实现基础安全用户认证,将kafka上云或进行多租户管理的必要步骤安全,目前kafka支持`SASL`、`SSL`、`Delegation Token`这三种认证机制。
kafka 的 broke 和 client 之间加入 SSL 双向认证
拖垃圾的专栏
01-19 4549
参考:https://kafka.apache.org/documentation/#security 单向认证 首先实现单向的认证,即,client 对 broker 的认证。就像浏览器对服务器的认证一样。 注:密钥生成过程中的密码统一为test123。 为broke生成keystore 第一步是为集群的每台机器生成密钥证书,可以使用java的keytool来生产。我们将生成密钥
kafka2.x版本配置SSL进行加密身份验证
heming20122012的专栏
03-19 1911
与步骤 1 中存储每台机器自己的身份的密钥库不同,客户机的信任库存储客户机应信任的所有证书。您可以使用单个 CA 对集群中的所有证书进行签名,并让所有计算机共享信任该 CA 的同一信任库。因此,只要 CA 是真实且受信任的颁发机构,客户端就可以高度保证它们连接到真实的计算机。部署一个或多个支持 SSL 的代理的第一步是为集群中的每台计算机生成密钥证书。完成第一步后,群集中的每台计算机都有一个公钥-私钥对,以及一个用于标识计算机的证书。生成的 CA 只是一个公钥-私钥对和证书,它旨在对其他证书进行签名。
elasticsearch集群安全加密插件之search-guard
11-04
Search Guard是一款强大的安全解决方案,专为Elasticsearch设计,提供全面的数据保护、访问控制和安全监控功能。它可以帮助企业满足合规性要求,确保数据在传输和存储过程中的安全性。下面我们将深入探讨Search ...
GetOffsetShell_kafka_SSL:具有SSLkafka.tools.GetOffsetShell
03-11
然而,在启用SSL(Secure Socket Layer)以增强安全性的情况下,可能会遇到一些挑战,这正如描述中提到的,当尝试在启用了SSL的环境中使用kafka.tools.GetOffsetShell时,可能遇到身份验证问题。 首先,我们需要...
SSL_KAFKA_CONFIGS
03-20
SSL/TLS的主要目标是提供数据机密性、身份验证和完整性。它通过创建一个加密的通道来保护网络通信,防止中间人攻击和数据篡改。在Kafka中,我们可以使用SSL来实现以下功能: - **客户端认证**:服务器验证客户端的...
Kafka 配置用户名密码例子
09-10
Kafka是一个分布式流处理平台,它在数据传输中扮演着重要角色,而安全性是其核心考量之一。SASL(Simple Authentication and Security Layer)是一种通用的认证框架,而PLAIN则是SASL的一种简单认证机制,适用于提供...
Kafka SASL_SSL双重认证
weixin_44783506的博客
02-05 3648
kafka提供了多种安全认证机制,主要分为SASL和SSL两大类。在 Kafka 中启用 SASL_SSL 安全协议时,SASL 用于客户端和服务器之间的身份验证SSL 则用于加密和保护数据的传输。不仅提供身份验证,还提供加密和数据保护的功能。因工作需要,需要在测试环境搭建一套基于SASL_SSL协议的kafka环境。坑比较多,经过两天的研究终于搞定了,特在此记录下。
Kafka配置SSL认证
热门推荐
JustryDeng
03-10 2万+
目录 Kafka配置SSL认证 使用kafka自带的消费者生产者测试一下 我是一只小小小小鸟~嗷!嗷! Kafka配置SSL认证 准备工作:生成SSL相关证书 注:详见https://blog.csdn.net/justry_deng/article/details/88383081。 注:其实对于本节内容来说,有SSL的服务端证书就够了。 第一步:修改kafka安装目录下conf...
Kafka配置SSL安全
m0_61332144的博客
02-28 2916
Kafka配置SSL安全认证
Kafka】手把手SASL,SSL教学
metaldong的博客
01-12 2333
kafka的SASL和SSL配置全指南
kafka安全认证与授权(SASL/PLAIN)
u011618288的博客
02-09 8205
快速搭建kafka SASL+ACL实现安全认证、授权 kafka SASL/PLAIN
kafka ssl 原理
06-03
Kafka SSL 是一种为 Kafka 提供安全传输的机制,它使用 SSL/TLS协议来加密和保护 Kafka Broker 和客户端之间的通信。其原理如下: 1. 证书生成:首先,需要生成 SSL 证书,包括证书颁发机构(CA)、Broker 服务器证书和客户端证书。 2. Broker SSL 配置:在 Kafka Broker 上配置 SSL 监听器,并设置证书路径、密码等参数。此时,Broker 会使用证书对客户端进行身份验证,并使用 SSL/TLS 协议加密数据传输。 3. 客户端 SSL 配置:在 Kafka 客户端上配置 SSL 监听器,并设置证书路径、密码等参数。客户端会使用证书对 Broker 进行身份验证,并使用 SSL/TLS 协议加密数据传输。 4. 交互过程:当客户端连接到 Broker 时,会首先进行 SSL 握手,交换证书加密密钥等信息。之后,客户端和 Broker 之间的所有通信都会使用 SSL/TLS 协议进行加密和保护。 通过这种方式,Kafka SSL 实现了对数据传输的加密身份验证,保障了 Kafka 系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流华追梦

你的鼓励将是我创作最大的动力。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值