kafka-php ssl配置,golang客户端sarama通过SSL连接Kafka配置

最新推荐文章于 2023-05-19 10:04:51 发布
最新推荐文章于 2023-05-19 10:04:51 发布
阅读量515 收藏
点赞数
文章标签: kafka-php ssl配置

前言

非对称密钥、证书、签名、keystone、truststore等相关概念请移步度娘查询,在此只记录下相关步骤

证书生成

#!/bin/sh

keytool -keystore kafka.server.keystore.jks -alias localhost -validity 3650 -keyalg RSA -genkey

openssl req -new -x509 -keyout ca-key -out ca-cert -days 3650

keytool -keystore kafka.client.truststore.jks -alias CARoot -import -file ca-cert

keytool -keystore kafka.server.truststore.jks -alias CARoot -import -file ca-cert

keytool -keystore kafka.server.keystore.jks -alias localhost -certreq -file cert-file

openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 3650 -CAcreateserial -passin pass:123456

keytool -keystore kafka.server.keystore.jks -alias CARoot -import -file ca-cert

keytool -keystore kafka.server.keystore.jks -alias localhost -import -file cert-signed

keytool -importkeystore -srckeystore kafka.server.truststore.jks -destkeystore server.p12 -deststoretype PKCS12

openssl pkcs12 -in server.p12 -nokeys -out server.cer.pem

keytool -importkeystore -srckeystore kafka.server.keystore.jks -destkeystore client.p12 -deststoretype PKCS12

openssl pkcs12 -in client.p12 -nokeys -out client.cer.pem

openssl pkcs12 -in client.p12 -nodes -nocerts -out client.key.pem

服务端配置

通过上面执行的脚本,Kafka的broker使用kafka.server.truststore.jks和kafka.server.keystore.jks,修改配置文件server.properties

listeners=PLAINTEXT://x.x.x.x:9092,SSL://x.x.x.x:9093

ssl.keystore.location=kafka.server.keystore.jks

ssl.keystore.password=123456

ssl.key.password=123456

ssl.truststore.location=kafka.server.truststore.jks

ssl.truststore.password=123456

ssl.enabled.protocols=TLSv1.2,TLSv1.1,TLSv1

ssl.keystore.type=JKS

ssl.truststore.type=JKS

客户端配置

客户端会用到上面产生的server.cer.pem,client.cer.pem(重点:需要修改),client.key.pem

client.cer.pem,client.key.pem可能出现"private key does not match public key"错误,那么需要手动处理client.cer.pem文件

Bag Attributes

friendlyName: caroot

2.16.840.1.xxx.xxx.1.1:

subject=/C=cn/ST=bj/L=bj/O=xx/OU=xx/CN=192.168.xx.xx

issuer=/C=cn/ST=bj/L=bj/O=xx/OU=xx/CN=192.168.xx.xx

-----BEGIN CERTIFICATE-----

MIIDgzCCAmugAwIBAgIJAL95jWSrh9jfMA0GCSqGSIb3DQEBCwUAMFgxCzAJBgNV

BAYTAmNuMQswCQYDVQQIDAJiajELMAkGA1UEBwwCYmoxCzAJBgNVBAoMAnp3MQsw

CQYDVQQLDAJ6dzEVMBMGA1UEAwwMMTkyLjE2OC4yLjMxMB4XDTE4MDMxOTEyMTAx

OVoXDTI4MDMxNjEyMTAxOVowW9....省略n个字符

-----END CERTIFICATE-----

Bag Attributes

friendlyName: localhost

localKeyID: 54 69 6D 65 20 31 35 32 31 34 36 31 34 34 36 xx xx xx

subject=/C=cn/ST=bj/L=bj/O=xx/OU=xx/CN=192.168.xx.xx

issuer=/C=cn/ST=bj/L=bj/O=xx/OU=xx/CN=192.168.xx.xx

-----BEGIN CERTIFICATE-----

MIIDLDCCAhQCCQDqwOxGdLTDLjANBgkqhkiG9w0BAQUFADBYMQswCQYDVQQGEwJj

bjELMAkGA1UECAwCYmoxCzAJBgNVBAcMAmJqMQswCQYDVQQKDAJ6dzELMAkGA1UE

CwwCencxFTATBgNVBAMMDDE5Mi4xNjguMi4zMTAeFw0xODAzMTkxMjEwMzBaFw0y

ODAzMTYxMjEwMzBaMFgxCzAJBgNVBAYTAmNuMQswCQYDVQQIEwJiajELMAkGA1UE

BxMCYmoxCzAJBgNVBAoTAnp3MQswCQYDVQQLEwJ6dzEVMBMGA1UEAxMMMTkyLjE2

OC4yLjMxMIIBIjANBgkqhkiG9w0BAQ....省略n个字符

-----END CERTIFICATE-----

Bag Attributes

friendlyName: CN=192.168.xx.xx,OU=xx,O=xx,L=bj,ST=bj,C=cn

subject=/C=cn/ST=bj/L=bj/O=xx/OU=xx/CN=192.168.xx.xx

issuer=/C=cn/ST=bj/L=bj/O=xx/OU=xx/CN=192.168.xx.xx

-----BEGIN CERTIFICATE-----

MIIDgzCCAmugAwIBAgIJAL95jWSrh9jfMA0GCSqGSIb3DQEBCwUAMFgxCzAJBgNV

BAYTAmNuMQswCQYDVQQIDAJiajELMAkGA1UEBwwCYmoxCzAJBgNVBAoMAnp3MQsw

CQYDVQQLDAJ6dzEVMBMGA1UEAwwMMTkyLjE2OC4yLjMxMB4XDTE4MDMxOTEyMTAx

OVoXDTI4MDMxNjEyMTAxOVowWDELMAkGA1UEBhMCY24xCzAJBgNVBAgMAmJqMQsw

CQYDVQQHDAJiajELMAkGA1UECg....省略n个字符

-----END CERTIFICATE-----

此处查看到有三段-----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----,打开client.key.pem看到只有一段friendlyName: localhost,那么找到client.cer.pem(上图为中间一段),删除其余部分,剩余如下:

-----BEGIN CERTIFICATE-----

MIIDLDCCAhQCCQDqwOxGdLTDLjANBgkqhkiG9w0BAQUFADBYMQswCQYDVQQGEwJj

bjELMAkGA1UECAwCYmoxCzAJBgNVBAcMAmJqMQswCQYDVQQKDAJ6dzELMAkGA1UE

CwwCencxFTATBgNVBAMMDDE5Mi4xNjguMi4zMTAeFw0xODAzMTkxMjEwMzBaFw0y

ODAzMTYxMjEwMzBaMFgxCzAJBgNVBAYTAmNuMQswCQYDVQQIEwJiajELMAkGA1UE

BxMCYmoxCzAJBgNVBAoTAnp3MQswCQYDVQQLEwJ6dzEVMBMGA1UEAxMMMTkyLjE2

OC4yLjMxMIIBIjANBgkqhkiG9w0BAQ....省略n个字符

-----END CERTIFICATE-----

测试程序如下:

package main

// Run with:

// go build examples/base-client/*.go

// ./base-client

import (

"crypto/tls"

"crypto/x509"

"io/ioutil"

"log"

"os"

"os/signal"

"sync"

"github.com/Shopify/sarama"

)

func main() {

tlsConfig, err := NewTLSConfig("bundle/client.cer.pem",

"bundle/client.key.pem",

"bundle/server.cer.pem")

if err != nil {

log.Fatal(err)

}

// This can be used on test server if domain does not match cert:

tlsConfig.InsecureSkipVerify = true

consumerConfig := sarama.NewConfig()

consumerConfig.Net.TLS.Enable = true

consumerConfig.Net.TLS.Config = tlsConfig

client, err := sarama.NewClient([]string{"192.168.2.31:9093"}, consumerConfig)

if err != nil {

log.Fatalf("unable to create kafka client: %q", err)

}

consumer, err := sarama.NewConsumerFromClient(client)

if err != nil {

log.Fatal(err)

}

defer consumer.Close()

consumerLoop(consumer, "Test")

}

// NewTLSConfig generates a TLS configuration used to authenticate on server with

// certificates.

// Parameters are the three pem files path we need to authenticate: client cert, client key and CA cert.

func NewTLSConfig(clientCertFile, clientKeyFile, caCertFile string) (*tls.Config, error) {

tlsConfig := tls.Config{}

// Load client cert

cert, err := tls.LoadX509KeyPair(clientCertFile, clientKeyFile)

if err != nil {

return &tlsConfig, err

}

tlsConfig.Certificates = []tls.Certificate{cert}

// Load CA cert

caCert, err := ioutil.ReadFile(caCertFile)

if err != nil {

return &tlsConfig, err

}

caCertPool := x509.NewCertPool()

caCertPool.AppendCertsFromPEM(caCert)

tlsConfig.RootCAs = caCertPool

tlsConfig.BuildNameToCertificate()

return &tlsConfig, err

}

func consumerLoop(consumer sarama.Consumer, topic string) {

partitions, err := consumer.Partitions(topic)

if err != nil {

log.Println("unable to fetch partition IDs for the topic", topic, err)

return

}

// Trap SIGINT to trigger a shutdown.

signals := make(chan os.Signal, 1)

signal.Notify(signals, os.Interrupt)

var wg sync.WaitGroup

for partition := range partitions {

wg.Add(1)

go func() {

consumePartition(consumer, int32(partition), signals)

wg.Done()

}()

}

wg.Wait()

}

func consumePartition(consumer sarama.Consumer, partition int32, signals chan os.Signal) {

log.Println("Receving on partition", partition)

partitionConsumer, err := consumer.ConsumePartition("test", partition, sarama.OffsetNewest)

if err != nil {

log.Println(err)

return

}

defer func() {

if err := partitionConsumer.Close(); err != nil {

log.Println(err)

}

}()

consumed := 0

ConsumerLoop:

for {

select {

case msg :=

log.Printf("Consumed message offset %d\nData: %s\n", msg.Offset, msg.Value)

consumed++

case

break ConsumerLoop

}

}

log.Printf("Consumed: %d\n", consumed)

}

按照网上的教程出现各种错误,主要在于client.cer.pem需要手动修改

参考地址:

有疑问加站长微信联系(非本文作者)

weixin_39615402
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
golang客户端sarama通过SSL连接Kafka配置
weixin_34032827的博客
03-20 2040
2019独角兽企业重金招聘Python工程师标准>>> ...
go kafka 配置SASL认证及实现SASL PLAIN认证功能
weixin_45222119的博客
08-24 2802
配置SASL认证及实现SASL PLAIN认证功能
go 通过SSL 双向认证在kafka上生产和消费
送人玫瑰,手留余香!
03-23 2559
一、背景 做项目有个需求:kafka使用SSL加密连接,限制客户端访问, 减轻服务端的压力,项目也具有安全性,这就需要给客户端发证书,只允许持有证书的客户端访问。 二、实现思路 1.在实现的时候参考了很多的帖子,java版的实现很多,go实现的目前只找到一篇,或许是其它的每能及时发现,在这个过程中我遇到很多的坑,说多了就是累,希望给有相同需求的人少走点弯路!! 根据其它的帖子实现的思路是这样的: ...
golang通过SSL链接Kafka遇到的问题
送人玫瑰,手留余香!
04-02 4407
问题:项目想用SSL来链接kafka,在使用的过程中遇到几个特别的坑 现象: 程序在消费和生产的时候出现错误: 2019/04/02 20:02:22 unable to create kafka client: "kafka: client has run out of available brokers to talk to (Is your cluster reachable?)" 然后看...
golang学习之go连接Kafka
weixin_56349119的博客
10-23 7036
window wsl 安装 java zookeeper kafkagolang 连接kafka
kafka-consumer-groups.sh读SSLSASL加密的kafka
qq_38151907的博客
05-19 866
kafka-consumer-groups.sh读SSLSASL加密的kafka
golang如何使用sarama访问kafka
09-19
Golang程序中,创建Sarama配置对象,设置Kafka集群的地址、安全选项(如TLS/SSL)以及其他参数。例如: ```go config := sarama.NewConfig() config.Consumer.Offsets.Initial = sarama.OffsetOldest config...
kafka-proxy:与Kafka群集的代理连接。 通过SOCKS代理,HTTP代理连接连接到Kubernetes中运行的集群
05-13
它允许服务连接Kafka代理,而无需处理SASL / PLAIN身份验证和SSL证书。 通过使用本地套接字上的tcp套接字并代理到关联的Kafka代理的连接,它可以工作。 从代理收到的和响应中的主机和端口被本地副本替换。 对于...
franz-go:franz-go包含一个高性能的纯Go库,用于与从0.8.0到2.7.0+的Kafka进行交互。 生产,消费,交易,管理等
04-19
franz-go-用Go编写的Apache Kafka客户端 Franz-go是一个完全由Go编写的无所不包的Apache Kafka客户端。 该库旨在提供从Apache Kafka v0.8.0开始的所有Kafka功能。 它支持事务,正则表达式主题消耗,最新的分区策略...
Go-Confluent的ApacheKafkaGolang客户端
08-14
1. **连接Kafka集群**:配置客户端连接参数,如服务器地址、安全设置(SSL/TLS、SASL等)、客户端ID等,建立到Kafka集群的连接。 2. **创建生产者**:创建生产者对象,用于发送消息到Kafka的主题。可以设置生产者...
librdkafka-1.6.0.tar.gz
02-23
《深入理解librdkafka:一个高性能Kafka客户端库》 librdkafka是一个开源的、高度优化的Apache Kafka生产者和消费者库,由RdKafka项目开发并维护。这个库支持C和C++语言,同时提供了丰富的API,使得在多种编程语言...
beego RESTful API工程下使用https访问api接口
余欲与鱼御雨渔
12-19 1061
1、开启https,关闭http: 在app.conf中设置即可,相关设置项如下: EnableHTTP=false httpport = 8080 EnableHTTPS=true EnableHttpTLS = true HttpsPort = 443 HTTPSCertFile = "server.crt" HTTPSKeyFile = "server.key" https端口可...
二进制部署高可用Kubernetes集群 (成功) 看报错
m0_59267075的博客
05-17 1747
序号名字功能VMNET 1备注 + 1备注 + 2备注 +3备注 + 4备注 +50orgin界面haproxykeepalived1仓库yum 仓库registoryhaproxykeepalived2master01H-K8S-1kube-apicontrollerscheduleretcd3master02H-K8S-2kube-apicontrollerscheduleretcd4master03H-K8S-3。
Docker私有仓库的搭建、TLS加加密、添加用户认证功能
shang_feng_wei的博客
07-13 1301
直接从官网上拉取镜像不太方便,有时候主机由于安全等方面的考虑,不能直接使用外网。这时候需要搭建本地私有仓库,将以已经处理好的镜像存放在仓库中。 并且registry已经开源,打包成一个镜像,直接拉取,然后运行容器即即可,剩下的就是进行设置加密认证以及设置存储等。 私有仓库的搭建 下载registry镜像 [root@toto6 images]# docker pull registery:2 [...
kafka-php ssl配置,kafka增加SSL认证的Producer客户端代码示例
weixin_35775969的博客
04-13 438
kafka增加SSL认证的Producer客户端代码示例package com.kafka.safe.ssl;import org.apache.kafka.clients.producer.KafkaProducer;import org.apache.kafka.clients.producer.Producer;import org.apache.kafka.clients.producer...
kafka使用ssl加密和认证
每个人都是一道菜。。。
04-28 4777
学习过kafka的人都知道,kafka的默认端口是9092,且消费kafka消息的命令也极其简单。现在随着kafka在消息传输应用中使用的越来越广泛,那么生产环境中消息的保密性也变的重要了,所以生产环境使用ssl来认证kafka是比较必要的。 ...
利用sarama包使用kafka
IuSpet的博客
07-01 1873
代码仓库 官方文档 sarama提供了纯Go编写的kafka客户端,最新发行版本支持Go和Kafka的最新两个版本 生产者 sarama提供异步生产者和同步生产者 异步生产者用管道接受信息,并且在背后异步地生产消息。异步生产者会尽可能的提高效率,是sarama推荐的选择 同步生产者提供一个阻塞的方法,直到消息被确认成功生产。显然效率上肯定不如异步生产者,且在某些配置中,确认的消息仍会丢失 type AsyncProducer type AsyncProducer interface { // 关闭
golangsarama连接kafka
cumt_TTR的专栏
01-16 1856
不用group连接 这种方式我自己有个疑问分别在v2ex和0GitHub上提了问题,如有知道的也请告知 package main import ( "fmt" "log" "os" "os/signal" "time" "github.com/Shopify/sarama" "github.com/alecthomas/log4go" ) func main() { d...
kafka-eagle如何配置kafka节点
最新发布
08-22
现在,你已经成功配置kafka-eagle与kafka节点的连接。你可以使用kafka-eagle来监视kafka集群的状态、topic信息、IO、内存、consumer线程、偏移量等信息,并通过可视化图表展示。此外,你还可以使用kafka-eagle的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值