kafka ssl 版本搭建

最新推荐文章于 2024-03-19 11:50:50 发布
最新推荐文章于 2024-03-19 11:50:50 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 运维 数据库 大数据 文章标签: ssl kafka https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42290927/article/details/122080181
版权
运维 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
大数据
10 篇文章 0 订阅
订阅专栏
数据库
8 篇文章 0 订阅
订阅专栏

文章目录

kafka 搭建

  1. 先处理好zookeeper 和 kafka,这边就不再赘述了

kafka ssl 证书搭建

  1. 依赖环境,安装 openssl 和 keytool 工具

1. SSL 证书原理

  1. ssl 加密是基于非对称加密的加密通讯方式,它大致包含两个部分,一部分是验证对方的身份,另一部分是对双方交流的数据进行加密
  2. 非对称加密中,最重要的就是公钥和私钥,如果是对称式加密,那么公钥和私钥就是同一个,对称式加密的问题就是,一旦有人知道了密钥,那么加密就会失效。但非对称式加密不同,假设A 和 B 通信,黑客C知道了A的公钥,黑客并不能对数据进行解密,除非它还掌握了私钥,这是因为A用公钥加密,只有使用B的私钥才能对其进行解密。工作模式如下图。
    在这里插入图片描述
  3. ssl 还包含了身份验证,这里的身份验证是通过第三方(证书中心),证书中心(Certificate Authority 简称CA)是一个签发证书的地方,一般在公网的证书都是需要交钱的,所以一般我们都是用自己搭建的证书中心,然后给自己签发证书。
  4. 证书是什么呢,证书在我们这里主要是指这个服务的一个身份,且ca证书会将我们上面提到的公钥进行绑定
  5. 证书中除了密钥以外,一般还包含了,域名,国家,城市,证书有效期等等
  6. 由于证书包含了大量的信息,所以通信时会携带证书进行身份验证,数据加密等操作

openssl 工具介绍

  1. 上文提到,我们的最终目的是为了产生一个携带公钥,身份的证书
  2. 而证书需要一个证书中心签发
  3. 公钥需要先产生一个私钥
  4. 且证书为了安全,还会对证书进行二次加密
  5. 证书签发过程如下图
    在这里插入图片描述
1. 生成CA
# 生成CA私钥(ca.key)
openssl genrsa -des3 -out ca.key 2048 
# 生成CA证书签名请求(ca.csr)
openssl req -new -key ca.key -out ca.csr
# 生成自签名CA证书(ca.cert)
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt
2. 生成Server证书
# 生成服务端私钥(server.key)
openssl genrsa -des3 -out server.key 2048 
# 生成服务端证书签名请求(server.csr)
openssl req -new -key server.key -out server.csr
# 使用ca证书签署服务端csr以生成服务端证书(server.cert)
openssl ca -days 3650 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
3. 生成Client证书(用于双向认证)
# 生成客户端私钥(client.key)
openssl genrsa -des3 -out client.key 2048
# 生成客户端证书签名请求(client.csr)
openssl req -new -key client.key -out client.csr
# 使用ca证书签署客户端csr以生成客户端证书(client.cert)
openssl ca -days 3650 -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

Keytool 工具介绍

  1. keytool 是java自带的证书管理工具,由于kafka 是java编写的,所以kafka环境一般都会有 keytool
  2. keystore 是一个证书数据库,他将密钥和证书存放在一起
  3. truststore 仅包含一个证书,与keystore 的区别是,keystore 是用于服务器认证客户端,truststore 则相反
  4. 证书生成过程
#!/bin/bash
# 生成CA
openssl req -new -x509 -keyout ca-key -out ca-certs -days  7300 -passout pass:ds1994 -subj "/C=cn/ST=shenzhen/L=shenzhen/O=aspire/OU=aspire/CN=kafka-cluster"
# 生成server keystore truststore
keytool -keystore server.keystore.jks -alias ds-kafka-single -validity 7300 -genkey -keypass ds1994 -keyalg RSA -dname "CN=kafka-cluster,OU=aspire,O=aspire,L=shenzhen,S=shenzhen,C=cn" -storepass ds1994
keytool -keystore server.truststore.jks -alias CARoot -import -file ca-certs  -storepass ds1994
keytool -keystore server.keystore.jks -alias ds-kafka-single -certreq -file server.cert-file -storepass ds1994
openssl x509 -req -CA ca-certs -CAkey ca-key -in server.cert-file -out server.cert-singed -days 7300 -CAcreateserial -passin pass:ds1994
keytool -keystore server.keystore.jks -alias CARoot -import -file ca-certs -storepass ds1994
keytool -keystore server.keystore.jks -alias ds-kafka-single -import -file server.cert-singed -storepass ds1994
# 生成client keystore truststore
keytool -keystore client.truststore.jks -alias CARoot -import -file ca-certs  -storepass ds1994
keytool -keystore client.keystore.jks -alias ds-kafka-client -validity 7300 -genkey -keypass ds1994 -dname "CN=kafka-cluster,OU=aspire,O=aspire,L=shenzhen,S=shenzhen,C=cn" -storepass ds1994
keytool -keystore client.keystore.jks -alias ds-kafka-client -certreq -file client.cert-file -storepass ds1994
openssl x509 -req -CA ca-certs -CAkey ca-key -in client.cert-file -out client.cert-signed -days 7300 -CAcreateserial -passin pass:ds1994
keytool -keystore client.keystore.jks -alias CARoot -import -file ca-certs -storepass ds1994
keytool -keystore client.keystore.jks -alias ds-kafka-client -import -file client.cert-signed -storepass ds1994

kafka 配置

ssl.keystore.location=/opt/apps/certs/server.keystore.jks
ssl.keystore.password=ds1994
ssl.key.password=ds1994
ssl.truststore.location=/opt/apps/certs/server.truststore.jks
ssl.truststore.password=ds1994
ssl.ca.location=/opt/apps/certs/ca-certs
ssl.certification.location=/opt/apps/certs/ca-certs
ssl.key.location=/opt/apps/certs/ca-key
# 此项非常重要
ssl.client.auth=none
ssl.enabled.protocols=TLSv1.2,TLSv1.1,TLSv1
ssl.keystore.type=JKS
ssl.truststore.type=JKS
# 此项非常重要
ssl.endpoint.identification.algorithm=
security.inter.broker.protocol=SSL
kafka.security.protocol=SSL
broker.id=0
listeners=PLAINTEXT://1.1.1.1:9093,SSL://1.1.1.1:9092
advertised.listeners=PLAINTEXT://1.1.1.1:9093,SSL://1.1.1.1:9092
num.network.threads=5
num.io.threads=9
socket.send.buffer.bytes=2048000
socket.receive.buffer.bytes=2048000
socket.request.max.bytes=104857600
log.dirs=/data/kafka01,/data/kafka02,/data/kafka03
num.replica.fetchers=2
min.insync.replicas=2
replica.lag.time.max.ms=30000
num.recovery.threads.per.data.dir=1
offsets.topic.replication.factor=3
transaction.state.log.replication.factor=3
transaction.state.log.min.isr=2
log.retention.hours=168
log.segment.bytes=1073741824
log.retention.check.interval.ms=300000
zookeeper.connect=11.1.109.25:2181,11.1.100.100:2181,11.0.59.65:2181
zookeeper.connection.timeout.ms=30000
zookeeper.session.timeout.ms=30000
group.initial.rebalance.delay.ms=3000
log.message.timestamp.type=LogAppendTime

producer 配置

  1. 配置详情 test.properties
bootstrap.servers=ip:9092
security.protocol=SSL
ssl.truststore.location=/opt/apps/certs/client.truststore.jks
ssl.truststore.password=ds1994
ssl.keystore.password=ds1994
ssl.keystore.location=/opt/apps/certs/client.keystore.jks
ssl.endpoint.identification.algorithm=
  1. bin/kafka-console-producer.sh --broker-list ip:9092 --producer-property test.properties
  2. 避坑指南,一定要写 ssl.endpoint.identification.algorithm=, 否则会导致ssl handshake failed

参考文章

  1. openssl系列文章
  2. 证书中各个字段的详细信息
  3. CA证书字段说明
  4. openssl 自签发证书
  5. openssl 工具介绍
  6. kafka 搭建及测试
少年的小俊
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
kafka SSL证书生成及配置
Sy9876的专栏
08-15 8076
apache kafka可以使用SSL加密连接,还可以限制客户端访问, 给客户端发行证书,只允许持有证书的客户端访问。下面使用jdk的keytool工具来生成证书,配置kafka
kafka添加ssl认证
01-07
主要是生成证书: 请先安装java和openssl. 生成证书脚本ca.sh: #!/bin/bash #Step 1 keytool -keystore /var/soft/ca/server.keystore.jks -alias localhost -validity 365 -genkey #Step 2 openssl req -new -x509 -keyout ca-key -out ca-cert -days 365 keytool -keystore /var/soft/ca/server.truststore.jks -alias CARoot -import -file
kafka安装环境搭建
09-12
kafka安装环境搭建
kafka ssl 安全认证详细配置
06-23
kafka ssl 安全认证详细配置
kafka2.x版本配置SSL进行加密和身份验证
最新发布
heming20122012的专栏
03-19 1491
与步骤 1 中存储每台机器自己的身份的密钥库不同,客户机的信任库存储客户机应信任的所有证书。您可以使用单个 CA 对集群中的所有证书进行签名,并让所有计算机共享信任该 CA 的同一信任库。因此,只要 CA 是真实且受信任的颁发机构,客户端就可以高度保证它们连接到真实的计算机。部署一个或多个支持 SSL 的代理的第一步是为集群中的每台计算机生成密钥和证书。完成第一步后,群集中的每台计算机都有一个公钥-私钥对,以及一个用于标识计算机的证书。生成的 CA 只是一个公钥-私钥对和证书,它旨在对其他证书进行签名。
kafka搭建windows版本单机环境
04-11
项目需要,自学初级kafka环境搭建,现将学习心得,解压包和样例代码上传供大家参考学习,有兴趣的可以私聊讨论。
kafka安装包kafka搭建
12-10
版本kafka_2.13-2.5.0. 官网下载太慢了,备份一下. 直接可以用 启动方法 方法一:加守护进程启动 bin/kafka-server-start.sh -daemon config/server.properties 方法二:通过后台来启动 nohup kafka-server-start.sh ../config/server.properties
kafka配置SSL(shell脚本)
04-11
kafka配置SSL的前几步骤,写成shell脚本了,方便!博客参考:https://blog.csdn.net/qq_34021712/article/details/79902479
Kafka Java SSL(Consumer/Producer) Demo
weixin_41574643的博客
05-14 2371
<dependency> <groupId>org.apache.kafka</groupId> <artifactId>kafka-clients</artifactId> <version>0.10.0.1</version> </dependency> 基本生产者示例pack
Kafka ssl 配置
u013887254的专栏
11-24 2171
Kafka SSL配置说明 所有配置主要参考官网文档。部分openssl操作可以参考:https://blog.csdn.net/bbwangj/article/details/82503675这篇文章介绍。实际不需要记那么多。 操作 下载kafka_2.12-2.3.0并解压 macBook:kafka_2.12-2.3.0 nobleyd$ pwd /Applications/so...
java kafka ssl_Kafka创建SSL证书
weixin_39760368的博客
02-25 487
对于消息组件,如果按照最初的设计来讲,性能最高得就是RabbitMQ,因为RabbitMQ设计比较完整,而Kafka不同,Kafka最初的设计最大的坑:没有安全认证,所以最初的一些系统设计的时候为了考虑到安全性,所以采用了性能较差的ssl认证方式来进行出来,也就是说使用证书的方式来处理认证操作。如果要想进行证书的ssl处理,那么肯定需要通过java中的keytool工具生成相应的证书信息,而后将此...
Windows下编译的librdkafkacpp库,包含openssl
05-15
使用vs2017在windows10下编译生成的库文件有c和c++两个版本,可以在vc++和qt使用
Kafka SSL 和 ACL 配置
热门推荐
Database、Code
09-07 1万+
很久没写文章了,之所以写这篇文章是想其他同学少走弯路,因为我在进行配置的时候发现google及百度没有一篇像样的文章。官方doc说的又不是很清楚,所以比较蛋疼,最终还是折腾出来了。 kafka SSL 配置,大家先可以去看官方doc: http://kafka.apache.org/090/documentation.html#security_ssl 我感觉比较误导人。。
kafka 配置SSL证书&ACL
zy1344470418的博客
02-22 581
kafka 配置SSL证书&ACL
kafka SSL配置随笔
qq_41574772的博客
03-15 1851
讲解关于kafkassl配置和参考资料
Kafka安全认证机制详解之SASL_SCRAM
空城的博客
01-05 1562
SASL/SCRAM 通过将认证用户信息保存在 ZooKeeper 的方式,避免了动态修改需要重启 Broker 的弊端。在实际使用过程中,可以使用 Kafka 提供的命令动态地创建和删除用户,无需重启整个集群。因此,如果打算使用 SASL/PLAIN,不妨改用 SASL/SCRAM 试试。不过要注意的是,后者是 0.10.2 版本引入的。
kafka 的 broke 和 client 之间加入 SSL 双向认证
拖垃圾的专栏
01-19 4467
参考:https://kafka.apache.org/documentation/#security 单向认证 首先实现单向的认证,即,client 对 broker 的认证。就像浏览器对服务器的认证一样。 注:密钥生成过程中的密码统一为test123。 为broke生成keystore 第一步是为集群的每台机器生成密钥和证书,可以使用java的keytool来生产。我们将生成密钥
kafka生产者SSL证书认证-----java代码
zxs281的博客
12-13 1581
Properties producerProps = new Properties(); producerProps.put(ProducerConfig.BOOTSTRAP_SERVERS_CONFIG, "10.142.153.68:8092,10.142.153.69:8092,10.142.153.70:8092,10.142.153.71:8092"); producer...
kafka开启SSL认证(包括内置zookeeper开启SSL
m0_37817986的博客
11-09 1527
zookeeper和kafkaSSL开启都可独立进行。
kafka ssl 原理
06-03
Kafka SSL 是一种为 Kafka 提供安全传输的机制,它使用 SSL/TLS协议来加密和保护 Kafka Broker 和客户端之间的通信。其原理如下: 1. 证书生成:首先,需要生成 SSL 证书,包括证书颁发机构(CA)、Broker 服务器证书和客户端证书。 2. Broker SSL 配置:在 Kafka Broker 上配置 SSL 监听器,并设置证书路径、密码等参数。此时,Broker 会使用证书对客户端进行身份验证,并使用 SSL/TLS 协议加密数据传输。 3. 客户端 SSL 配置:在 Kafka 客户端上配置 SSL 监听器,并设置证书路径、密码等参数。客户端会使用证书对 Broker 进行身份验证,并使用 SSL/TLS 协议加密数据传输。 4. 交互过程:当客户端连接到 Broker 时,会首先进行 SSL 握手,交换证书和加密密钥等信息。之后,客户端和 Broker 之间的所有通信都会使用 SSL/TLS 协议进行加密和保护。 通过这种方式,Kafka SSL 实现了对数据传输的加密和身份验证,保障了 Kafka 系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值