kafka使用ssl加密和认证

最新推荐文章于 2024-06-19 07:12:57 发布
最新推荐文章于 2024-06-19 07:12:57 发布
阅读量4.8k 收藏 8
点赞数
分类专栏: kafka 运维 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011089412/article/details/104186285
版权
kafka 同时被 3 个专栏收录
2 篇文章 1 订阅
订阅专栏
运维
1 篇文章 0 订阅
订阅专栏
大数据
1 篇文章 0 订阅
订阅专栏

  学习过kafka的人都知道,kafka的默认端口是9092,且消费kafka消息的命令也极其简单。现在随着kafka在消息传输应用中使用的越来越广泛,那么生产环境中消息的保密性也变的重要了,所以生产环境使用ssl来认证kafka是比较必要的。Apache kafka 允许clinet通过SSL连接,SSL默认是不可用的,需手动开启。

1、部署HTTPS,第一步是为集群的每台机器生成密钥和证书,可以使用java的keytool来生产。我们将生成密钥到一个临时的密钥库,之后我们可以导出并用CA签名它。

keytool -keystore server.keystore.jks -alias localhost -validity {validity} -genkey

上面  server.keystore.jks 与 {validity} 均为自定义参数:

keystore: 密钥仓库存储证书文件。密钥仓库文件包含证书的私钥(保证私钥的安全)。

validity: 证书的有效时间,天

如我输入命令如下:依次是 密码—重输密码—名与姓—组织单位—组织名—城市—省份—国家两位代码—密码—重输密码,后面告警不用管,此步骤要注意的是,名与姓这一项必须输入域名,如 "localhost",切记不可以随意写,我曾尝试使用其他字符串,在后面客户端生成证书认证的时候一直有问题。

keytool -keystore server.keystore.jks -alias localhost -validity 3650 -genkey
Enter keystore password:
Re-enter new password:
What is your first and last name?
  [Unknown]:  localhost
What is the name of your organizational unit?
  [Unknown]:  CH-kafka
What is the name of your organization?
  [Unknown]:  kafkadev
What is the name of your City or Locality?
  [Unknown]:  shanghai
What is the name of your State or Province?
  [Unknown]:  shanghai
What is the two-letter country code for this unit?
  [Unknown]:  CH
Is CN=localhost, OU=CH-kafka, O=kafkadev, L=shanghai, ST=shanghai, C=CH correct?
  [no]:  yes

Enter key password for <localhost>
	(RETURN if same as keystore password):  
Re-enter new password: 

Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore server.keystore.jks -destkeystore server.keystore.jks -deststoretype pkcs12".

完成上面步骤,可使用命令 keytool -list -v -keystore server.keystore.jks 来验证生成证书的内容

2、通过第一步,集群中的每台机器都生成一对公私钥,和一个证书来识别机器。但是,证书是未签名的,这意味着攻击者可以创建一个这样的证书来伪装成任何机器。

因此,通过对集群中的每台机器进行签名来防止伪造的证书。证书颁发机构(CA)负责签名证书。CA的工作机制像一个颁发护照的政府。政府印章(标志)每本护照,这样护照很难伪造。其他政府核实护照的印章,以确保护照是真实的。同样,CA签名的证书和加密保证签名证书很难伪造。因此,只要CA是一个真正和值得信赖的权威,client就能有较高的保障连接的是真正的机器。如下,生成的CA是一个简单的公私钥对证书,用于签名其他的证书,下面为输入命令,依次提示输入为 密码—重输密码—国家两位代码—省份—城市—名与姓—组织名—组织单位—名与姓(域名)—邮箱 ,此输入步骤与上面生成证书世输入步骤相反,输入值要与第一步一致,邮箱可不输入

openssl req -new -x509 -keyout ca-key -out ca-cert -days 3650
Generating a 2048 bit RSA private key
.........................................................................+++
..................+++
writing new private key to 'ca-key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CH
State or Province Name (full name) []:shanghai
Locality Name (eg, city) [Default City]:shanghai
Organization Name (eg, company) [Default Company Ltd]:kafkadev
Organizational Unit Name (eg, section) []:CH-kafka
Common Name (eg, your name or your server's hostname) []:localhost
Email Address []:

将生成的CA添加到**clients' truststore(客户的信任库)**,以便client可以信任这个CA:

keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert
keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert

3、签名证书,用步骤2生成的CA来签名所有步骤1生成的证书,首先,你需要从密钥仓库导出证书:

keytool -keystore server.keystore.jks -alias localhost -certreq -file cert-file

然后用CA签名:{validity},{ca-password} 两个为参数,

openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days {validity} -CAcreateserial -passin pass:{ca-password}

最后,你需要导入CA的证书和已签名的证书到密钥仓库:
 

keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias localhost -import -file cert-signed

上文中的各参数解释如下:

  1. keystore: 密钥仓库的位置
  2. ca-cert: CA的证书
  3. ca-key: CA的私钥
  4. ca-password: CA的密码
  5. cert-file: 出口,服务器的未签名证书
  6. cert-signed: 已签名的服务器证书

上面步骤所有执行脚本如下:注意密码修改为自己的密码,以防混淆,所有步骤密码最好设为同一个

#!/bin/bash
#Step 1
keytool -keystore server.keystore.jks -alias localhost -validity 3650 -keyalg RSA -genkey
#Step 2
openssl req -new -x509 -keyout ca-key -out ca-cert -days 3650
keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert
keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert
#Step 3
keytool -keystore server.keystore.jks -alias localhost -certreq -file cert-file
openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 3650 -CAcreateserial -passin pass:123456
keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias localhost -import -file cert-signed
#Step 4
keytool -keystore client.keystore.jks -alias localhost -validity 3650 -keyalg RSA -genkey

4、配置kafka broker,通过server.properteis 配置,最少监听1个端口,用逗号分隔

如果broker之间通讯未启用SSL(参照下面,启动它),PLAINTEXT和SSL端口是必须要配置,这里我使用了9093为ssl端口,如果想要broker内部通信也使用ssl 要配置 security.inter.broker.protocol=SSL(不建议,kakfa内部通信使用ssl可能影响速度)

listeners=PLAINTEXT://host.name:9092,SSL://host.name:9093

SSL配置 

ssl.keystore.location=/var/private/ssl/server.keystore.jks
ssl.keystore.password=123456
ssl.key.password=123456
ssl.truststore.location=/var/private/ssl/server.truststore.jks
ssl.truststore.password=123456

 5、配置Kafka客户端,创建client-ssl.properties 文件,内容如下

security.protocol=SSL
ssl.truststore.location=/home/server.keystore.jks
ssl.truststore.password=123456

消费命令如下:

kafka-console-producer.sh --broker-list localhost:9093 --topic test --producer.config client-ssl.properties
kafka-console-consumer.sh --bootstrap-server localhost:9093 --topic test --consumer.config client-ssl.properties

有时候我们会用python来消费kafka的数据,python KafkaConsumer消费消息使用的是 pem证书,此时要使用原来的jks证书生成pem证书,如下命令

keytool -exportcert -alias localhost -keystore server.keystore.jks -rfc -file certificate.pem
keytool -exportcert -alias CARoot -keystore server.keystore.jks -rfc -file ca-root.pem

python中消费主要代码如下:

def startConsumer():
    consumer = KafkaConsumer('test_topic',
                             bootstrap_servers='...',
                             group_id='test-gp',
                             security_protocol='SSL',
                             auto_offset_reset='earliest',
                             ssl_check_hostname=False,
                             ssl_cafile='/home/ssl/ca-root.pem',
                             ssl_certfile='/home/ssl/certificate.pem')
    for message in consumer: 
        value = message.value.decode()
        print(value)

 

本文参照了博客 https://www.orchome.com/171,亲自动手实践过,有些地方有修改,有些地方原文写的更多一些

窝头就辣椒
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
kafka ssl 安全认证详细配置
06-23
Kafka 配置 SSL 认证是指将 Kafka 集群配置为使用 SSL/TLS 加密协议进行通信。以下是 Kafka 配置 SSL 认证的步骤: 4.1 编辑配置文件 编辑 Kafka 配置文件(例如,"server.properties"),添加以下配置项: `...
Kafka SSL认证
麦田里的守望者-蒋中洲【相信相信的力量】
05-21 708
参考:https://www.ibm.com/docs/zh/cloud-paks/cp-biz-automation/21.0.3?在kafka安装目录下/certificates生成keystore和trust文件,在其中一台机器声生成证书,然后将。文件拷贝其他broker节点上去即可。3.导入CA到truststore。1.生成keystore。
使用keytool生成双向认证仓库及证书
qq_38981656的博客
05-16 1312
生成服务端自签名证书 root@master01:/home/casa/cer-test# keytool -genkey -alias tlsServer -keysize 2048 -validity 365 -keyalg RSA -dname "CN=localhost" -keypass server -storepass server -keystore server.jks Warning: The JKS keystore uses a proprietary format. It ..
(二)Kafka 安全之使用 SSL加密和身份验证
流华追梦的专栏
06-19 974
接上一篇《(一)Kafka 安全之使用 SSL加密和身份验证》,本文从 2.2 小节开始。
kafka学习笔记十kafka-SSL安全认证机制
justlpf的专栏
12-29 2207
参考文章:kafka学习笔记十kafka-SSL安全认证机制_hwhanwan的专栏-CSDN博客_kafka ssl认证 一、生成配置cert 1.1生成 server keystore [root@iZbp19pf0xgaj0oo0041u6Z cert]# keytool -keystore server.keystore.jks -alias kafka-server -validity 365 -keyalg RSA -genkey Enter keystore password: R
tomcat强制https访问
Jinx
04-19 1020
在tomcat目录下conf/web.xml里的下面添加: <login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area
java 密钥格式_java – 无法更改密钥库格式
weixin_42298878的博客
03-07 483
它似乎是keytool显示的错误,而不是它的作用.考虑以下实验.首先,我的jdk版本是1.8.0_152:excalibur:~ ronan$java -versionjava version "1.8.0_152"Java(TM) SE Runtime Environment (build 1.8.0_152-b16)Java HotSpot(TM) 64-Bit Server VM (buil...
Kafka系列之:基于Apache Kafka Connect实现端到端topic数据字段级加密的详细方法
zhengzaifeidelushang的博客
07-09 1164
Kafka系列之:基于Apache Kafka Connect实现端到端topic数据字段级加密的详细方法
Kafka系列之:Apache Kafka端到端安全性,实现数据加密
zhengzaifeidelushang的博客
07-09 1192
Kafka系列之:Apache Kafka端到端安全性,实现数据加密
kafka使用教程.rar
04-02
Kafka支持SSL/TLS加密和SASL认证,以保障数据传输和访问的安全性。 10. **应用领域** Kafka广泛应用于日志收集、网站活动跟踪、流式处理、消息传递、事件驱动架构等多种场景。 在《Kafka使用教程.docx》文档中,...
Kafka安装文档和安装包
02-23
- **安全性**:Kafka支持SSL和SASL等安全协议,可以实现认证加密通信。 - **集群扩展**:通过增加更多的代理节点来提升集群的处理能力。 - **数据保留策略**:根据业务需求配置主题的数据保留时间或大小,以控制...
GetOffsetShell_kafka_SSL:具有SSLkafka.tools.GetOffsetShell
03-11
综上所述,解决"GetOffsetShell_kafka_SSL"的问题需要深入理解KafkaSSL配置和客户端认证机制,以及如何在命令行工具中正确传递这些配置。通过仔细检查配置,确保证书链的完整性,并正确处理身份验证,通常可以解决...
kafka使用手册
02-01
2. **增强的安全特性**: 支持 SSL 加密和鉴权机制。 3. **性能优化**: 通过对网络栈和消息处理流程的优化提高整体性能。 #### 十一、Kafka框架设计 **Kafka 的设计** 体现了其作为一个分布式消息系统的独特之处。...
Kafka3.4 SASL/kerberos/ACL 证以及 SSL 加密连接
青冬的博客
08-07 2502
kafka sasl 搭建,以及 SSL 传输加密搭建,最新版本 kafka3.4 实操。 其他节点只需要安装执行
linux tomcat配置443域名,Ubuntu配置tomcat 443(https)
weixin_42370320的博客
05-11 200
Ubuntu配置tomcat 443(https):生成.keystore文件:keytool -genkey -alias tomcat -keyalg RSAEnter keystore password:Re-enter new password:What is your first and last name?What is the name of your organizational ...
Kafka安全认证机制详解之SASL_PLAIN
空城的博客
01-02 3110
上面配置是新增了两个用户,admin和tly,这两个用户都是普通用户,KafkaServer中的username、password配置的用户和密码,是用来broker和broker连接认证。在本例中,admin是代理broker间通信的用户。这个时候使用auth.conf已经不能创建topic了,使用admin.conf可以创建,因为admin账号和配置的超级管理员一致;使用权限配置并且超级用户是admin,这个用户和我们上面配置的列表中的admin用户相互映射,每个机器都需要配置然后重启所有节点。
java密钥库口令_java - keytool错误密钥库被篡改,或密码在
weixin_32102305的博客
02-16 3255
java - keytool错误密钥库被篡改,或密码在我在本地计算机上生成证书时遇到以下错误。C:\Users\abc>keytool -genkey -alias tomcat -keyalg RSAEnter keystore password:keytool error: java.io.IOException: Keystore was tampered with, or pas...
Kafka SASL/PLAIN加密Kafka-Python整合
Aarend的博客
10-10 4451
SASL/PLAIN是kafka中一种使用用户名/密码的身份验证机制,本文使用Kafka-Python2.02 及kafka3.2.0进行简单的整合操作。
DBO-CNN-BiLSTM-Attention蜣螂算法优化多变量时间序列预测,含优化前后对比(Matlab完整源码和数据)
最新发布
08-17
1.Matlab实现DBO蜣螂算法优化CNN-BiLSTM-Attention多变量时间序列预测,含优化前后对比(Matlab完整源码和数据)优化学习率,神经元个数,注意力机制的键值, 正则化参数。 2.输出MAE 、 MAPE、MSE、RMSE、R2多指标评价,运行环境Matlab2023及以上。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:机器学习之心,博客专家认证,机器学习领域创作者,2023博客之星TOP50,主做机器学习和深度学习时序、回归、分类、聚类和降维等程序设计和案例分析,文章底部有博主联系方式。从事Matlab、Python算法仿真工作8年,更多仿真源码、数据集定制私信.
Kafka SSL加密与CA签名校验部署教程
这篇文档详细阐述了如何在Kafka集群中启用SSL加密认证功能,以增强其安全性。首先,部署过程包括为每个Kafka broker生成SSL密钥和证书。这涉及到使用Java的keytool工具,如`keytool -keystore server.keystore.jks...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值