kafka開(kāi)啟SSL認(rèn)證（包括內(nèi)置zookeeper開(kāi)啟SSL）

2年前作者：mgker分類(lèi)：Toy博客閱讀(15)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了kafka開(kāi)啟SSL認(rèn)證（包括內(nèi)置zookeeper開(kāi)啟SSL）。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

zookeeper和kafka的SSL開(kāi)啟都可單獨(dú)進(jìn)行

生成SSL證書(shū)

使用jre自帶的keytool工具生成，linux和windows下生成的證書(shū)可以通用

生成含有一個(gè)私鑰的keystore文件，有效期10年（本文證書(shū)密碼統(tǒng)一使用test123）
keytool -genkeypair -alias certificatekey -dname “CN=127.0.0.1, OU=127.0.0.1, O=127.0.0.1, L=SH, ST=SH, C=CN” -keyalg RSA -validity 3650 -keystore keystore.jks
查看生成的keystore文件
keytool -list -v -keystore keystore.jks
導(dǎo)出證書(shū)
keytool -export -alias certificatekey -keystore keystore.jks -rfc -file selfsignedcert.cer
導(dǎo)入證書(shū)到truststore文件中
keytool -import -alias certificatekey -file selfsignedcert.cer -keystore truststore.jks
查看生成的truststore文件
keytool -list -v -keystore truststore.jks

zookeeper開(kāi)啟SSL

受版本影響，需要3.5及以上版本才能正常開(kāi)啟，（可查看 libs/zookeeper-xxx.jar確認(rèn)版本號(hào)）

將生成的證書(shū)文件統(tǒng)一放在kafka安裝路徑ssl文件夾（需要新建）
編輯config/zookeeper.properties配置文件，添加下列配置

#開(kāi)啟SSL
#ssl端口
secureClientPort=3183
#開(kāi)啟ssl使用的本機(jī)訪問(wèn)地址
secureClientPortAddress=127.0.0.1
serverCnxnFactory=org.apache.zookeeper.server.NettyServerCnxnFactory
ssl.keyStore.location=/home/app/kafka/ssl/keystore.jks
ssl.keyStore.password=test123
ssl.trustStore.location=/home/app/kafka/ssl/truststore.jks
ssl.trustStore.password=test123

若注釋掉原本的 clientPort配置則可以屏蔽非SSL的訪問(wèn)地址

Kafka配置zookeeper ssl連接
編輯 config/server.properties, 開(kāi)啟SSL并配置上證書(shū)和證書(shū)庫(kù)路徑以及相應(yīng)密碼，配置如下：

zookeeper.connection.timeout.ms=18000
zookeeper.connect=127.0.0.1:3183
zookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty
zookeeper.ssl.client.enable=true
zookeeper.client.secure=true
zookeeper.ssl.hostnameVerification=false
zookeeper.ssl.keystore.location=/home/app/kafka/ssl/keystore.jks
zookeeper.ssl.keystore.password=test123
zookeeper.ssl.truststore.location=/home/app/kafka/ssl/truststore.jks
zookeeper.ssl.truststore.password=test123

kafka開(kāi)啟SSL

修改kafka安裝路徑下 config/server.properties文件，將kafka連接協(xié)議改為SSL，并配置上證書(shū)和證書(shū)庫(kù)路徑以及相應(yīng)密碼,如下：

#IP地址使用實(shí)際kafka服務(wù)器IP地址(需自己更換下面的ip)
listeners =SSL://192.168.6.6:9093
#server.keystore.jks的地址
ssl.keystore.location=/home/app/kafka/ssl/keystore.jks
ssl.keystore.password=test123
ssl.truststore.location=/home/app/kafka/ssl/truststore.jks
ssl.truststore.password=test123
ssl.client.auth=required
ssl.enabled.protocols=TLSv1.2
ssl.keystore.type=JKS
ssl.truststore.type=JKS
#關(guān)閉主機(jī)名
ssl.endpoint.identification.algorithm=
#設(shè)置內(nèi)部訪問(wèn)也用SSL，默認(rèn)值為security.inter.broker.protocol=PLAINTEXT
security.inter.broker.protocol=SSL

測(cè)試

啟動(dòng)zookeeper服務(wù)：

bin/zookeeper-server-start.sh config/zookeeper.properties

啟動(dòng)kafka服務(wù)：

bin/kafka-server-start.sh config/server.properties

創(chuàng)建客戶端連接配置文件 client-ssl.properties

security.protocol=SSL
ssl.enabled.protocols=TLSv1.2
ssl.truststore.location=/home/app/kafka/ssl/truststore.jks
ssl.truststore.password=test123
ssl.keystore.location=/home/app/kafka/ssl/keystore.jks
ssl.keystore.password=test123
ssl.key.password=test123
ssl.endpoint.identification.algorithm=

創(chuàng)建帶證書(shū)校驗(yàn)的生產(chǎn)者

bin/kafka-console-producer.sh --broker-list 192.168.6.6:9093 --topic test --producer.config client-ssl.properties

另起窗口創(chuàng)建帶證書(shū)校驗(yàn)的消費(fèi)者

bin/kafka-console-consumer.sh --broker-list 192.168.6.6:9093 --topic test --consumer.config client-ssl.properties

嘗試在生產(chǎn)者窗口中輸入任意字符回車(chē)，若消費(fèi)者窗口能正常接收則表示kafka運(yùn)行正常文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-799120.html

到了這里，關(guān)于kafka開(kāi)啟SSL認(rèn)證（包括內(nèi)置zookeeper開(kāi)啟SSL）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

logstash 開(kāi)啟ssl報(bào)錯(cuò)：Caused by: io.netty.handler.ssl.NotSslRecordException: not an SSL/TLS record
背景：在使用證書(shū)的方式讓beat和logstash通信傳輸數(shù)據(jù)的過(guò)程中，生成了證書(shū)，logstash的證書(shū)配置如下：錯(cuò)誤現(xiàn)象：在啟動(dòng)logstsah的時(shí)候出現(xiàn)報(bào)錯(cuò)：問(wèn)題原因：排錯(cuò)的過(guò)程比較辛酸，就不贅述了。這里的報(bào)錯(cuò)原因是證書(shū)中指定的ip在logstash發(fā)布服務(wù)的時(shí)候沒(méi)有指定該ip，因此拋
2024年02月12日
瀏覽(27)
MySQL安全性：用戶認(rèn)證、防范SQL注入和SSL/TLS配置詳解
MySQL作為廣泛使用的關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)，安全性至關(guān)重要。在本篇技術(shù)博客中，我們將深入探討MySQL的用戶認(rèn)證方式、防范SQL注入攻擊的方法以及SSL/TLS加密的配置。 MySQL支持多種用戶認(rèn)證方式，其中兩種常見(jiàn)方式是caching_sha2_password和mysql_native_password。 1.1 caching_sha2_passwor
2024年02月02日
瀏覽(23)
Apache zookeeper kafka 開(kāi)啟SASL安全認(rèn)證_kafka開(kāi)啟認(rèn)證(1)
先自我介紹一下，小編浙江大學(xué)畢業(yè)，去過(guò)華為、字節(jié)跳動(dòng)等大廠，目前阿里P7 深知大多數(shù)程序員，想要提升技能，往往是自己摸索成長(zhǎng)，但自己不成體系的自學(xué)效果低效又漫長(zhǎng)，而且極易碰到天花板技術(shù)停滯不前！因此收集整理了一份《2024年最新網(wǎng)絡(luò)安全全套學(xué)習(xí)資料》
2024年04月23日
瀏覽(26)
Elastic stack8.10.4搭建、啟用安全認(rèn)證，啟用https，TLS，SSL 安全配置詳解
ELK大家應(yīng)該很了解了，廢話不多說(shuō)開(kāi)始部署 kafka在其中作為消息隊(duì)列解耦和讓logstash高可用 kafka和zk 的安裝可以參考這篇文章深入理解Kafka3.6.0的核心概念，搭建與使用-CSDN博客需要 elasticsearch-8.10.4 logstash-8.10.4 kibana-8.10.4 kafka_2.13-3.6.0 apache-zookeeper-3.9.1-bin.tar filebeat-8.10.4-linux-
2024年02月04日
瀏覽(18)
PostgreSQL安裝和開(kāi)啟SSL加密連接【配置單/雙向認(rèn)證】
SSL單向認(rèn)證和雙向認(rèn)證： SSL單向認(rèn)證：只有一端校驗(yàn)對(duì)端的證書(shū)合法性，通常都是客戶端來(lái)校驗(yàn)服務(wù)器的合法性。即在一般的單向認(rèn)證中，只要求服務(wù)器端部署了ssl證書(shū)就行，客戶端可以無(wú)證書(shū)，任何用戶都可以去訪問(wèn)服務(wù)端，服務(wù)端只是提供了身份認(rèn)證。 client: 無(wú)證書(shū)
2024年02月06日
瀏覽(23)
JAVA連接Kafka及SSL認(rèn)證
1、Maven驅(qū)動(dòng)(注意一定要對(duì)應(yīng)自己的Kafka版本) 2、生產(chǎn)者生產(chǎn)數(shù)據(jù) 2.1 普通方式創(chuàng)建Producer 2.2 ssl加密和認(rèn)證創(chuàng)建Producer(Plain) 2.3 ssl加密和認(rèn)證創(chuàng)建Producer(Plain使用配置文件方式) kafka_client_jaas_plain配置文件信息：具體代碼實(shí)現(xiàn)： 2.4 ssl加密和認(rèn)證創(chuàng)建Producer(Scram) 2.5 ssl加密和認(rèn)證創(chuàng)
2024年02月12日
瀏覽(17)
Apache zookeeper kafka 開(kāi)啟SASL安全認(rèn)證
背景：我之前安裝的kafka沒(méi)有開(kāi)啟安全鑒權(quán)，在沒(méi)有任何憑證的情況下都可以訪問(wèn)kafka。搜了一圈資料，發(fā)現(xiàn)有關(guān)于sasl、acl相關(guān)的，準(zhǔn)備試試。 Kafka是一個(gè)高吞吐量、分布式的發(fā)布-訂閱消息系統(tǒng)。Kafka核心模塊使用Scala語(yǔ)言開(kāi)發(fā)，支持多語(yǔ)言（如Java、Python、Go等）客戶端，它可
2024年03月14日
瀏覽(24)
docker-compose部署elk（8.9.0）并開(kāi)啟ssl認(rèn)證
這里做了端口映射以及掛載數(shù)據(jù)卷。 1.使用docker-compose命令部署部署前需要先將掛載的數(shù)據(jù)卷注釋掉，用于拷貝配置文件到本地磁盤(pán) 創(chuàng)建所需目錄，拷貝配置文件到本地，并設(shè)置讀寫(xiě)權(quán)限為 777 修改jvm參數(shù)（作者電腦配置不夠高，所以需要進(jìn)行修改） 3.1 修改elasticsearch的jvm參
2024年02月08日
瀏覽(40)
springboot項(xiàng)目開(kāi)啟ssl雙向認(rèn)證且實(shí)現(xiàn)相互訪問(wèn)通信瀏覽器訪問(wèn)通信
1、服務(wù)器端===生成自簽名證書(shū)** 這段命令是使用Java的keytool工具生成一個(gè)RSA算法的密鑰對(duì)，并將其保存在名為server.jks的密鑰庫(kù)文件中。以下是各個(gè)參數(shù)的解釋?zhuān)?-genkeypair：生成密鑰對(duì)的命令。 -keyalg RSA：指定使用RSA算法生成密鑰對(duì)。 -keysize 2048：指定生成的密鑰長(zhǎng)度為2048位。
2024年03月21日
瀏覽(24)
storm統(tǒng)計(jì)服務(wù)開(kāi)啟zookeeper、kafka 、Storm（sasl認(rèn)證）
部署storm統(tǒng)計(jì)服務(wù)開(kāi)啟zookeeper、kafka 、Storm（sasl認(rèn)證）當(dāng)前測(cè)試驗(yàn)證結(jié)果：單獨(dú)配置zookeeper 支持acl 設(shè)置用戶和密碼，在storm不修改代碼情況下和kafka支持當(dāng)kafka 開(kāi)啟ACL時(shí)，storm 和ccod模塊不清楚配置用戶和密碼。使用python腳本連接kafka用戶和密碼是能成功發(fā)送消息。當(dāng)前部署
2024年01月22日
瀏覽(26)