生成SSL证书并对Kafka配置SSL认证

最新推荐文章于 2024-03-23 21:12:26 发布
最新推荐文章于 2024-03-23 21:12:26 发布
阅读量3k 收藏 14
点赞数 3
分类专栏: 工具类 文章标签: kafka ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41890247/article/details/98844886
版权

1. 生成相关SSL证书

相关知识点:

  • JavaSSL认证: SSL(Secure Socket Layer安全套接层),及其继任者传输安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL再传输层对网络连接进行安全加密。
  • ** Kerberos认证+ACL鉴权:** Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。ACL则是在Kerberos的基础上进行鉴权措施,一般Kerberos认证就够使用了。

1.1 服务器端SSL证书签发

1.1.1 修改/etc/hosts文件,自定义一个hosts名
在这里插入图片描述
1.1.2 创建目录保存证书,以方便证书的保存管理

 mkdir -p /usr/ca/{root,server,client,trust}

注:这4个目录分别用来存放根证书、服务端证书、客户端证书、受信任的证书

1.1.3 生成server.keystore.jks文件(即:生成服务端的keystore文件)

keytool -keystore /usr/ca/server/server.keystore.jks -alias ds-name-27 -validity 365 -genkey -keypass 123456 -keyalg RSA -dname "CN=kafka-single,OU=aspire,O=aspire,L=beijing,S=beijing,C=cn" -storepass 123456 -ext SAN=DNS:name-27

提示:此命令中的密码自定义,主机名改成第一步中配置的主机名

** keytool相关指令说明:**

指令含义
-alias别名
-keystore指定密钥库的名称(就像数据库一样的证书库,可以有很多证书,cacerts这个文件是jre自带的,也可以用其他文件名,如果没有这样的文件名,他会创建这样一个)
-storepass指定密钥库的密码
-keypass指定别名条目的密码
-list显示密钥库中的证书信息
-v显示密钥库中的证书详细信息
-export将别名指定的证书导出到文件
-file参数指定导出到文件的文件名
-delete删除密钥库中的某条目
-import将已签名的数据证书导入密钥库
-keypasswd修改密钥库中指定条目口令
-dname指定证书拥有者信息,其中:CN=名字与姓氏/域名,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两个字母国家代码
-keyalg指定密钥的算法
-validity指定创建证书的有效期是多少天
-keysize:指定密钥长度

1.1.4 生成CA认证证书

目的:为了保证整个证书的安全性,使用CA进行证书的签名保证

openssl x509 -req -CA /usr/ca/root/ca-cert -CAkey /usr/ca/root/ca-key -in /usr/ca/server/server.cert-file -out /usr/ca/server/server.cert-signed -days 365 -CAcreateserial -passin pass:123456

1.1.5 通过CA证书创建一个客户端信任证书

keytool -keystore /usr/ca/trust/client.truststore.jks -alias CARoot -import -file /usr/ca/root/ca-cert -storepass 123456

注1:有了信任证书才可以进行证书有效性检查
注2:以后的证书必须要通过CA认证后才可以使用

1.1.6 通过CA认证书创建一个服务器端信任证书

keytool -keystore /usr/ca/trust/server.truststore.jks -alias CARoot -import -file /usr/ca/root/ca-cert -storepass ds1994

1.1.6 服务器证书的签名处理:
1.1.6.1 导出服务器端证书server-cert-file:

keytool -keystore /usr/ca/server/server.keystore.jks -alias ds-name-27 -certreq -file /usr/ca/server/server.cert-file -storepass 123456

1.1.6.2 用CA给服务器端证书进行签名处理:

openssl x509 -req -CA /usr/ca/root/ca-cert -CAkey /usr/ca/root/ca-key -in /usr/ca/server/server.cert-file -out /usr/ca/server/server.cert-signed -days 365 -CAcreateserial -passin pass:123456

1.1.6.3 将CA证书导入到服务器端keystore

keytool -keystore /usr/ca/server/server.keystore.jks -alias CARoot -import -file /usr/ca/root/ca-cert -storepass 123456

1.1.6.4 将已签名的服务器证书导入到服务器keystore

 keytool -keystore /usr/ca/server/server.keystore.jks -alias ds-name-27 -import -file /usr/ca/server/server.cert-signed -storepass 123456

到此步骤为止,就可以进行"Kafka配置SSL认证"环节了,也可以为了以后方便,提前将客户端的证书生成出来。具体步骤参考:https://blog.csdn.net/justry_deng/article/details/88383081

2. Kafka配置SSL认证

2.1 修改Kafka安装目录config目录下的server.properties文件

############################# Server Basics #############################
# The id of the broker. This must be set to a unique integer for each broker.

listeners=SSL://name-27:9095
advertised.listeners=SSL://name-27:9095
ssl.keystore.location=/usr/ca/server/server.keystore.jks
ssl.keystore.password=123456
ssl.key.password=123456
ssl.truststore.location=/usr/ca/trust/server.truststore.jks
ssl.truststore.password=123456
ssl.client.auth=required
ssl.enabled.protocols=TLSv1.2,TLSv1.1,TLSv1
ssl.keystore.type=JKS 
ssl.truststore.type=JKS 
ssl.endpoint.identification.algorithm=
security.inter.broker.protocol=SSL
broker.id=0
#port=9092
hostname=name-27
#listeners=PLAINTEXT://name-27:9092
delete.topic.enable=true
############################# Socket Server Settings #############################
num.network.threads=3
num.io.threads=8
socket.send.buffer.bytes=102400
socket.receive.buffer.bytes=102400
socket.request.max.bytes=104857600
############################# Log Basics #############################
log.dirs=/usr/data/kafka
num.partitions=1
num.recovery.threads.per.data.dir=1
############################# Internal Topic Settings  #############################
offsets.topic.replication.factor=1
transaction.state.log.replication.factor=1
transaction.state.log.min.isr=1
############################# Log Retention Policy #############################
log.retention.hours=168
log.segment.bytes=1073741824
log.retention.check.interval.ms=300000
############################# Zookeeper #############################
zookeeper.connect=localhost:2181
zookeeper.connection.timeout.ms=6000
############################# Group Coordinator Settings #############################
group.initial.rebalance.delay.ms=0

注:SSL配置最好写在配置文件的最上面,否则可能导致Kafka配置SSL失败
重要说明:ssl.endpoint.identification.algorithm
一开始我设置ssl.endpoint.identification.algorithm=https,此项设置为https访问,防范攻击,算是加固HTTP访问。但是我使用该项配置后一直报错:

Exception in thread "main" org.apache.kafka.common.errors.SslAuthenticationException: SSL handshake failed
Caused by: javax.net.ssl.SSLHandshakeException: General SSLEngine problem
。。。
Caused by: javax.net.ssl.SSLHandshakeException: General SSLEngine problem
。。。
Caused by: java.security.cert.CertificateException: No subject alternative names present

修改成空字符串后(即可使用原先的访问方式)能正常使用。。。我具体也不知道怎么配置区分开Https访问和原始访问方式,欢迎大家补充

2.2(可选)
如果配置SSL之前,存在Kafka数据,那么建议重新换一个位置来存放数据;如果确保之前的数据已经没什么用了,也可以直接删除之前的数据。
注:之所以是这个文件夹,是因为是我们在安装kafka的时候指定的数据目录,可 详见https://blog.csdn.net/justry_deng/article/details/88381595。

2.3 重启kafka

# 后台启动zookeeper
/var/local/kafka/bin/zookeeper-server-start.sh /var/local/kafka/config/zookeeper.properties > /usr/data/zookeeper.log 2>&1 &
# 前台启动kafak
/var/local/kafka/bin/kafka-server-start.sh /var/local/kafka/config/server.properties

注:启动kafka时最好使用进程独占一个shell的方式前台启动,这样能非常直观的查看启动kafka是否成功。

2.4 使用Linux自带的openssl测试一下,验证配置的SSL是否有效

openssl s_client -debug -connect name-27:9095 -tls1

弹出以下内容说明成功了:
在这里插入图片描述
在这里插入图片描述

3. 使用Kafka测试

3.1 先用常规的命令消费Kafka中的数据

/usr/kafka/kafka_2.12-2.2.1/bin/kafka-console-consumer.sh --bootstrap-server name-27:9095 --topic test --from-beginning

在这里插入图片描述
一直阻塞,但一直消费不到数据。是因为未通过SSL验证

3.2 创建一个SSL下的消费者的配置文件

security.protocol=SSL
ssl.endpoint.identification.algorithm=
group.id=test
ssl.truststore.location=/usr/ca/trust/server.truststore.jks
ssl.truststore.password=123456
ssl.keystore.password=123456
ssl.keystore.location=/usr/ca/server/server.keystore.jks

3.2 再次消费数据时使用改配置文件

/usr/kafka/kafka_2.12-2.2.1/bin/kafka-console-consumer.sh --bootstrap-server name-27:9095 --topic test --from-beginning --consumer.config /usr/kafka/kafka_2.12-2.2.1/config/song_consumer.properties

在这里插入图片描述
可以正常消费数据!

3.3 kafka生产者同样,需要创建SSL配置文件才可以往Topic中生产数据。
配置文件如:
在这里插入图片描述
生产命令如:

/usr/kafka/kafka_2.12-2.2.1/bin/kafka-console-producer.sh --broker-list 192.168.251.27:9095 --topic test --producer.config /usr/kafka/kafka_2.12-2.2.1/config/song_consumer.properties

至此,Kafka已完成SSL的配置。

songlllovescoding
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
kafka添加ssl认证
01-07
主要是生成证书: 请先安装java和openssl. 生成证书脚本ca.sh: #!/bin/bash #Step 1 keytool -keystore /var/soft/ca/server.keystore.jks -alias localhost -validity 365 -genkey #Step 2 openssl req -new -x509 ...
c++使用librdkafka kerberos认证
chengfang0911的专栏
09-02 1883
sasl.kerberos.kinit.cmd命令不用加,文档上面写的是默认执行:kinit -R -t "%{sasl.kerberos.keytab}" -k %{sasl.kerberos.principal} || kinit -t "%{sasl.kerberos.keytab}" -k %{sasl.kerberos.principal}把krb5.conf拷贝到/etc/目录替换到原来的krb5.conf文件。设置环境变量 KRB5_CONFIG=/***/krb5.conf。
kafka 配置SSL证书&ACL
zy1344470418的博客
02-22 568
kafka 配置SSL证书&ACL
Kafka单机到集群- 自动化- SSL以及全部配置文件 作者精选
最新发布
qq_41574772的博客
03-23 2161
本文实现kafka集群的配置和启动过程。并将脚本自动化,使得通用性、独立性更强。1⃣️实现kafka集群从配置到启动可顺序执行ca.sh、ca2.sh、congfig.sh完成kafkaSSL&&配置文件更新。核心内容常见问题和解决方案(含快捷命令)、配置文件内容的填充、常量化配置到变量化实现。2⃣️脚本通用、独立。可复用 or 二次开发 实现SSL配置或中间件全局配置文件生成。:包含安装部署、配置项、api使用等详细信息附件:Kafka并不难学!
大数据之Kerberos认证kafka开启Kerberos配置
m0_46168848的博客
08-06 6869
​Kerberos 是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。.........
kerberos认证Flink的kafka connector和kafka client配置
lisacumt的专栏
08-04 2791
flink-connector-kafkakafka client 在kerberos连接方式
Kafka ssl org.apache.kafka.common.errors.SslAuthenticationException: SSL handshake failed
与时代同行 liwei
04-12 1013
aliyun kafka 使用ssl从公网连接,之前使用的证书好好的,过了一段时间发现不太行了。新的证书:only.4096.client.truststore.jks。旧的证书kafka.client.truststore.jks。证书问题,更换官方推荐的证书,即修复了问题。
kakfa进行SSL认证,Java链接kafka报错信息No subject alternative names present
weixin_41768626的博客
01-12 4971
SLF4J: Failed to load class "org.slf4j.impl.StaticLoggerBinder". SLF4J: Defaulting to no-operation (NOP) logger implementation SLF4J: See http://www.slf4j.org/codes.html#StaticLoggerBinder for further...
kafka SSL证书生成配置
Sy9876的专栏
08-15 8046
apache kafka可以使用SSL加密连接,还可以限制客户端访问, 给客户端发行证书,只允许持有证书的客户端访问。下面使用jdk的keytool工具来生成证书配置kafka
[Kafka集群] 配置支持Brokers内部SSL认证\外部客户端支持SASL_SSL认证并集成spring-cloud-starter-bus-kafka
FaceFullofConfused的博客
07-16 1771
Kafka集群配置支持Brokers内部SSL认证\外部客户端支持SASL_SSL认证并集成spring-cloud-starter-bus-kafka
kafka ssl 版本搭建
Rao的博客
12-22 1803
文章目录kafka 搭建kafka ssl 证书搭建1. SSL 证书原理openssl 工具介绍1. 生成CA2. 生成Server证书3. 生成Client证书(用于双向认证)Keytool 工具介绍kafka 配置producer 配置参考文章 kafka 搭建 先处理好zookeeper 和 kafka,这边就不再赘述了 kafka ssl 证书搭建 依赖环境,安装 openssl 和 keytool 工具 1. SSL 证书原理 ssl 加密是基于非对称加密的加密通讯方式,它大致包含两个
kafka ssl 安全认证详细配置
06-23
kafka ssl 安全认证详细配置
kafka配置SSL(shell脚本)
04-11
kafka配置SSL的前几步骤,写成shell脚本了,方便!博客参考:https://blog.csdn.net/qq_34021712/article/details/79902479
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
Kafka-配置Kerberos安全认证(JDK8、JDK11)
孟孟的博客
07-24 3973
从 Kerberos 服务器上拷贝到目标机器 或 找运维人员要一份。从 Kerberos 服务器上拷贝到目标机器 或 找运维人员要一份。3、Kerberos 配置文件(2、keytab 文件(1、JAAS 配置文件。
Kerberos安全认证-连载12-Kafka Kerberos安全配置及访问
qq_32020645的博客
06-22 3904
技术连载系列,前面内容请参考前面连载11内容:​​​​​​​​​​​​​​Kafka也支持通过Kerberos进行认证,避免非法用户操作读取Kafka中的数据,对Kafka进行Kerberos认证可以按照如下步骤实现。在kerberos服务端node1节点执行如下命令将Kafka服务主体写入到keytab文件。
kerberos+kafka(2.13)认证(单节点ubuntu)
weixin_43446246的博客
01-30 1082
复制 bin/kafka-server-start.sh 脚本重命名为 bin/kafka-server-start-sasl.sh,倒数第二行增加如下配置。.新建 kafka-client-jaas.conf 文件,该文件也放到 Kafka 的 config/kerberos 目录下。创建用户principal。验证登录,使用密钥登录.
kafka SASL认证失败原因(failed authentication due to: Authentication failed: Invalid username or password)
热门推荐
攻防人生3722的博客
08-14 2万+
最近在Linux系统搭建kafka的过程中,为了安全性,使用了SASL的认证模式,遇到如下报错? ERROR [KafkaServer id=0] Connection to node 0 (hh.com/ip:9092) failed authentication due to: Authentication failed: Invalid username or password (org.apache.kafka.clients.NetworkClient) [2021-7-14 16:52:]
docker kafka配置SSL
05-24
假设您已经生成证书并将其保存在 /path/to/ssl 目录中。 2. 然后,您需要将证书添加到 Kafka 配置中。您可以在 Kafka 配置文件中添加以下内容: ``` listeners=PLAINTEXT://:9092,SSL://:9093 ssl.keystore....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值