RocketMQ 如何配置TLS加密传输?

已于 2024-06-05 17:25:30 修改
阅读量860 收藏 19
点赞数 13
分类专栏: rocketmq 文章标签: rocketmq tls 加密传输 java 消息队列
于 2024-06-05 17:25:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39213969/article/details/139477760
版权

01 传输架构图

Namesrv:5.1.0

Broker:5.1.0

Dashboard:1.0.1-SNAPSHOT

02 准备Namesrv、Broker、Client的ca证书、密钥

以下全部操作在的目录在:/etc/rocketmq, 并且Namesrv、Broker、Dashboard在同一个机器上

实际操作时, dashboard或者客户端可以是其他的机器

  1. 生成ca签名证书

填写与重复填写ca证书密码。实际填写的时候是输入的字符是看不见的。

openssl req -newkey rsa:2048 -keyout ca_rsa_private.pem -x509 -days 365 -out ca.pem
  • 填写其他信息, 不填的话使用 “.”

生成ca签名证书

  1. 生成公私密钥。提供给客户端-服务端加密传输使用
openssl req -newkey rsa:2048 -keyout server_rsa.key -out server.csr

Generating a 2048 bit RSA private key

生成加密密钥对

  1. 生成Namesrv、Broker加密密钥对,并且签发Namesrv、Broker证书
openssl req -newkey rsa:2048 -keyout server_rsa.key -out server.csrGenerating a 2048 bit RSA private key

生成Namesrv、Broker密钥,签发证书

  1. 打包并加密Namesrv、Broker私钥

  1. 添加Namesrv、Broker使用的tls配置文件
  • tls-broker.properties
tls.test.mode.enable=false
tls.server.need.client.auth=none
tls.server.keyPath=/etc/rocketmq/server.key
tls.server.keyPassword=123456
tls.server.certPath=/etc/rocketmq/server.pem
tls.client.authServer=false
tls.client.trustCertPath=/etc/rocketmq/ca.pem
  • tls-namesrv.properties
tls.test.mode.enable=false
tls.server.need.client.auth=none
tls.server.keyPath=/etc/rocketmq/server.key
tls.server.keyPassword=123456
tls.server.certPath=/etc/rocketmq/server.pem
  • tls-client.properties
tls.client.trustCertPath=/etc/rocketmq/ca.pem

至此,我们得到了全部的tls配置文件:

全部配置文件

03 修改启动脚本

3.1 修改namesrv启动脚本

vim bin/runserver.sh

修改namesrv启动脚本

3.2 修改broker启动配置

  • 修改broker启动脚本, 设置jvm支持tls
vim bin/runbroker.sh

修改broker启动脚本

  • 添加broker.conf
brokerClusterName = DefaultCluster
brokerName = broker-a
brokerId = 0
deleteWhen = 04
fileReservedTime = 48
brokerRole = ASYNC_MASTER
flushDiskType = ASYNC_FLUSH
namesrvAddr = 127.0.0.1:9876

3.3 修改dashboard配置

  • 修改namesrv地址

修改namesrv地址

  • 打开tls开关
vim rocketmq-dashboard-1.0.1-SNAPSHOT.jar

修改dashboard配置

说明:如果是客户端生产消费,设置如下

消费者开启tls开关

生产者开启tls开关

04 启动Namesrv,Broker,Dashboard

  • 启动namesrv
nohup sh bin/mqnamesrv &
  • 启动broker
nohup sh bin/mqbroker -c conf/broker.conf &
  • 启动dashboard
java -Dtls.client.authServer=true -Dtls.enable=true -Dtls.test.mode.enable=false -Dtls.config.file=/etc/rocketmq/tls-client.properties -jar rocketmq-dashboard-1.0.1-SNAPSHOT.jar

05 验证

  • tcpdump抓包验证

TLS抓包结果

  • rocketmq dashboad日志验证: ~/logs/rocketmqlogs/rocketmq_client.log

06 问题:抓包结果中, 为什么还有TCP协议呢?

  • 抓包结果中, 为什么还有TCP协议呢?

  • 客户端可以通过设置:-Dtls.enable=true开启, 但是实际还是需要设置代码"producer.setUseTLS(useTls);" 或者 “consumer.setUseTLS(useTls);”, 为什么?

07 看看生成的最终文件到底是什么?

  • ca.pemca根证书

  • ca_rsa_private.pemca根证书的加密私钥

  • server.pem使用跟证书签发的Namesrv、Broker的证书

  • server_rsa.keyNamesrv、Broker的加密私钥

  • server.csrNamesrv、Broker的加密证书的公钥和用于辨别证书迁移机构的名称信息

  • server.key打包并加密后的Namesrv、Broker的私钥(server_rsa.key)

  • ca.srlca签发证书的序列号

1、tls-namesrv.properties

内容见上文, 是namesrv中netty识别的tls加密传输的配置

2、tls-broker.properties

内容见上文, 是broker中netty识别的tls加密传输的配置

3、tls-client.properties

内容见上文, 是client中netty识别的tls加密传输的配置

PS:RocketMQ的tls配置4.X版本和5.X版本差不多, 基本都可以用。

Tronhon
关注
  • 13
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
RocketMQ 5.0 如何配置TLS加密传输
ApacheRocketMQ的博客
05-19 986
干货!一起来和小伟老师学习 RocketMQ 5.0 如何配置TLS加密传输吧~
docker 安装rocketmq服务
不受天磨非好汉,不遭人妒是庸才——着实着迷゛
06-30 2038
1: 拉取镜像 2:创建namesrv数据存储路径 3:构建namesrv容器 1:创建broker数据存储路径 2:创建配置文件 3:构建broker容器 1:拉取镜像 2:构建rockermq-console容器需要把192.168.52.136换成部署namesrv机器地址 参数说明 参数 说明 -d 以守护进程的方式启动 --restart=always docker重启时候镜像自动重启
RocketMQ
weixin_46061449的博客
02-05 5138
RocketMQ 详情以及使用
RocketMQ、Dashboard部署以及安全设置
Java全栈开发者
08-15 7932
以当前最新版:5.1.3为例,下载链接为:https://dist.apache.org/repos/dist/release/rocketmq/5.1.3/rocketmq-all-5.1.3-bin-release.zip。当前,已经为RocketMQ设置了密码,但是,还存在问题,操作面板没有设置密码,操作面板没有设置密码,在实际应用中,也是很危险的。但是在实际使用中,还会对RocketMQ的访问增加密码限制,接下来,进行密码设置。至此,RocketMQ的启动、测试是否启动以及关闭已经说明完毕。
RocketMQ学习笔记(二)
仔哥学编程
11-14 711
RocketMQ 学习笔记2
RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
xieqj_0511的博客
06-16 6973
CVE-2011-1473安全漏洞修改,针对rocketmq
rocketmq-dashboard docker部署设置账号密码
IT匠人的博客
11-15 2010
【代码】rocketmq-dashboard docker部署设置账号密码。
rocketmq测试用例
04-09
- SSL/TLS:验证是否支持加密传输,提高通信安全性。 9. **监控与运维**: - 日志与监控:检查日志记录的完备性和监控指标的准确性,便于问题排查。 - 自动化运维工具:验证如JMX等工具,用于远程管理和监控...
RocketMQ MQTT 在小米 IoT 场景的落地与实践
01-21
2. **高可靠**:通过SSL/TLS加密数据传输,并且支持基于客户端证书的双向认证,提升了数据安全性和一致性。此外,通过Topic的读写权限控制和第三方认证扩展,增强了系统的安全防护。 3. **高性能**:优化了消息传输...
rocketmq3.2.6
12-30
- 支持SSL/TLS加密传输,确保消息在传输过程中的安全。 RocketMQ 3.2.6版本在这些核心特性上进行了优化和改进,为开发者提供了强大而可靠的分布式消息解决方案,广泛应用于电商平台、物联网、大数据等领域。
rocketmq-cpp-client编译所需依赖包
10-25
RocketMQ_cpp_client中,OpenSSL可能用于加密和保护传输中的数据,确保通信的安全性。 4. **libevent**:这是一个事件通知库,它使得开发者可以编写高性能、异步的网络服务器和客户端。在RocketMQ_cpp_client中,...
rocketMQ文件,已打包
08-27
- 安全机制:支持基于SSL/TLS的传输加密,保证数据安全。 6. **监控与运维**: - RocketMQ提供了丰富的监控指标,可以通过监控工具收集并分析,以保证系统的稳定运行。 - 命令行工具如`bin/tools`可进行消息查询...
docker 搭建 RocketMQ docker搭建RocketMQ 可视化界面 ,开启控制台密码和acl密码
weixin_32822759的博客
07-23 1286
docker安装Elasticsearch+Kibana+密码配置
rocketmq 初探(三)
烤鸭的世界我们不懂的博客
09-12 303
大家好,我是烤鸭:     上一篇介绍了注册中心,这一篇看下broker。基于 rocketmq 4.9 版本。 BrokerStartup#BrokerController 按照代码的先后顺序撸源码: BrokerController.createBrokerController public static BrokerController createBrokerController(String[] args) { // ... try {
RocketMq配置rocketmq-console控制台管理账号密码
热门推荐
weixin_44121378的博客
02-24 1万+
官方下载地址 :https://github.com/apache/rocketmq-externals.git 官方下载的控制台不够完善,存在有时候配置无效。以及没有ACL功能 可以在博主的资源中下载已经封装了ACL功能的资源包 一、开启登录验证配置 在application.properties配置文件中,将rocketmq.config.loginRequired设置为ture,在不填写的情况下 默认为false。 二、配置账号密码 1在resources目录下新建users.propertie
RocketMQ管理后台修改登录密码
HaleyTiger的博客
09-12 1525
修改rocketmq-console-ng-1.0.1.jar ——> rocketmq-console-ng-1.0.1.rar 后缀名再改回去:rocketmq-console-ng-1.0.1.rar——> rocketmq-console-ng-1.0.1.jar 重启管理后台: (1)kill -9 进程ID (2)启动 nohup java -jar /data/rocketmq/rocketmq-console-ng-1.0.1.jar > /data/logs/ro
RocketMQ集群的搭建
Lossdate的博客
07-05 178
一、环境 hosts 192.168.200.136 nodeA 192.168.200.139 nodeB 192.168.200.140 nodeC 192.168.200.141 nodeD 版本 rocketmq : 4.5.1 jdk : 1.8 在nodeA上安装好rocketmq RocketMQ安装 配置免密钥登入cd /root/ ls -a cd .ssh/ ls #生成密钥(四台机子都要) ssh-keygen #生成三个文件id_rsa id_rsa.pub known_hos
RocketMQTemplate中配置mq的acl账号密码
weixin_32822759的博客
07-23 986
docker安装Elasticsearch+Kibana+密码配置
k3s配置tls加密算法
最新发布
03-16
k3s是一个轻量级的Kubernetes发行版,它提供了简化的安装和管理方式。在k3s中配置TLS加密算法可以增强集群的安全性。以下是配置k3s TLS加密算法的步骤: 1. 生成证书和密钥:首先,你需要生成用于TLS加密的证书和密钥。可以使用工具如openssl来生成自签名证书,或者使用证书颁发机构(CA)签发的证书。 2. 配置k3s服务器:在k3s服务器上,你需要将生成的证书和密钥文件放置在指定的目录中。默认情况下,k3s会在`/etc/rancher/k3s`目录下查找证书和密钥文件。你可以将证书和密钥文件命名为`server.crt`和`server.key`,并将它们放置在该目录下。 3. 配置k3s代理节点:对于k3s代理节点,你需要将生成的证书和密钥文件放置在指定的目录中。默认情况下,k3s会在`/var/lib/rancher/k3s/agent`目录下查找证书和密钥文件。你可以将证书和密钥文件命名为`agent.crt`和`agent.key`,并将它们放置在该目录下。 4. 启动k3s:在配置完证书和密钥后,你可以启动k3s服务器和代理节点。k3s会自动加载证书和密钥,并使用TLS加密算法进行通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tronhon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值