RocketMQ 5.0 如何配置TLS加密传输?

最新推荐文章于 2025-09-09 02:58:41 发布
原创 最新推荐文章于 2025-09-09 02:58:41 发布 · 2.1k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #java #开发语言

本文作者:李伟,社区里大家叫小伟,Apache RocketMQ Committer,RocketMQ Python客户端项目Owner ,Apache Doris Contributor,腾讯云RocketMQ开发工程师。

01 传输架构图

Namesrv:5.1.0

Broker:5.1.0

Dashboard:1.0.1-SNAPSHOT

02 准备Namesrv、Broker、Client的ca证书、密钥

以下全部操作在的目录在:/etc/rocketmq, 并且Namesrv、Broker、Dashboard在同一个机器上

实际操作时, dashboard或者客户端可以是其他的机器

1. 生成ca签名证书

填写与重复填写ca证书密码。实际填写的时候是输入的字符是看不见的。

openssl req -newkey rsa:2048 -keyout ca_rsa_private.pem -x509 -days 365 -out ca.pem

  • 填写其他信息, 不填的话使用 “.”

生成ca签名证书

2. 生成公私密钥。提供给客户端-服务端加密传输使用

openssl req -newkey rsa:2048 -keyout server_rsa.key -out server.csr

Generating a 2048 bit RSA private key

生成加密密钥对

3. 生成Namesrv、Broker加密密钥对,并且签发Namesrv、Broker证书

openssl req -newkey rsa:2048 -keyout server_rsa.key -out server.csrGenerating a 2048 bit RSA private key

生成Namesrv、Broker密钥,签发证书

4. 打包并加密Namesrv、Broker私钥

5. 添加Namesrv、Broker使用的tls配置文件

  • tls-broker.properties

tls.test.mode.enable=false
tls.server.need.client.auth=none
tls.server.keyPath=/etc/rocketmq/server.key
tls.server.keyPassword=123456
tls.server.certPath=/etc/rocketmq/server.pem
tls.client.authServer=false
tls.client.trustCertPath=/etc/rocketmq/ca.pem

  • tls-namesrv.properties

tls.test.mode.enable=false
tls.server.need.client.auth=none
tls.server.keyPath=/etc/rocketmq/server.key
tls.server.keyPassword=123456
tls.server.certPath=/etc/rocketmq/server.pem

  • tls-client.properties

tls.client.trustCertPath=/etc/rocketmq/ca.pem

至此,我们得到了全部的tls配置文件:

全部配置文件

03 修改启动脚本

3.1 修改namesrv启动脚本

vim bin/runserver.sh

修改namesrv启动脚本

3.2 修改broker启动配置

  • 修改broker启动脚本, 设置jvm支持tls

vim bin/runbroker.sh

修改broker启动脚本

  • 添加broker.conf

brokerClusterName = DefaultCluster
brokerName = broker-a
brokerId = 0
deleteWhen = 04
fileReservedTime = 48
brokerRole = ASYNC_MASTER
flushDiskType = ASYNC_FLUSH
namesrvAddr = 127.0.0.1:9876

3.3 修改dashboard配置

  • 修改namesrv地址

修改namesrv地址

  • 打开tls开关

vim rocketmq-dashboard-1.0.1-SNAPSHOT.jar

修改dashboard配置

说明:如果是客户端生产消费,设置如下

消费者开启tls开关

生产者开启tls开关

04 启动Namesrv,Broker,Dashboard

  • 启动namesrv

nohup sh bin/mqnamesrv &

  • 启动broker

nohup sh bin/mqbroker -c conf/broker.conf &

  • 启动dashboard

java -Dtls.client.authServer=true -Dtls.enable=true -Dtls.test.mode.enable=false -Dtls.config.file=/etc/rocketmq/tls-client.properties -jar rocketmq-dashboard-1.0.1-SNAPSHOT.jar

05 验证

  • tcpdump抓包验证

TLS抓包结果

  • rocketmq dashboad日志验证: ~/logs/rocketmqlogs/rocketmq_client.log

添加图片注释,不超过 140 字(可选)

06 问题:抓包结果中, 为什么还有TCP协议呢?

  • 抓包结果中, 为什么还有TCP协议呢?

  • 客户端可以通过设置:-Dtls.enable=true开启, 但是实际还是需要设置代码"producer.setUseTLS(useTls);" 或者 “consumer.setUseTLS(useTls);”, 为什么?

07 看看生成的最终文件到底是什么?

  • ca.pemca根证书

  • ca_rsa_private.pemca根证书的加密私钥

  • server.pem使用跟证书签发的Namesrv、Broker的证书

  • server_rsa.keyNamesrv、Broker的加密私钥

  • server.csrNamesrv、Broker的加密证书的公钥和用于辨别证书迁移机构的名称信息

  • server.key打包并加密后的Namesrv、Broker的私钥(server_rsa.key)

  • ca.srlca签发证书的序列号

1、tls-namesrv.properties

内容见上文, 是namesrv中netty识别的tls加密传输的配置

2、tls-broker.properties

内容见上文, 是broker中netty识别的tls加密传输的配置

3、tls-client.properties

内容见上文, 是client中netty识别的tls加密传输的配置

PS:RocketMQ的tls配置4.X版本和5.X版本差不多, 基本都可以用。

docker部署rocketmq 4.9.7 并开启ACL 和 dashboard 账号密码
浮华一世南柯一梦
08-17 5592
rocketmq 4.9.7 acl
深入探究 RocketMQ 中 NettyRemotingServer 的核心 Handler
u013127325的博客
03-12 1120
主要负责处理客户端与服务器之间的握手过程。这个HandshakeHandler主要是进行SSL的链接创建。HandshakeHandler初始化的方法,在org.apache.rocketmq.remoting.netty.NettyRemotingServer#prepareSharableHandlers的方法中,代码如下://创建握手用的handler//netty的解码器//netty 连接管理的handler//netty 服务器消息处理的组件。
RocketMQ服务端搭建与配置文件及环境变量设置
06-19
资源下载链接为: https://pan.quark.cn/s/27aaeeaf622d 为了搭建和配置 RocketMQ 服务端,您需要准备以下资源和环境: Java 1.8:请务必安装 Java 1.8 版本(例如:jdk-8u40-windows-x64.exe)。其他版本可能会导致配置失败。 RocketMQ 安装包:下载并解压 RocketMQ 的安装包(如 rocketmq-all-4.2.0-bin-release)。 Maven:用于编译和安装可视化插件(如 maven-3.6.3)。 RocketMQ 可视化插件:下载 rocketmq-externals-master 文件,用于生成可视化管理工具 rocketmq-console-ng-1.0.0.jar(也可直接从网上下载该 jar 文件)。 Git:建议安装 Git,以方便后续操作。 在配置过程中,请注意以下要点: 所有文件(包括 JavaRocketMQ、Maven 等)应放置在路径中不含空格的文件夹内,例如在 C 盘创建一个名为“MQ”的文件夹,并将所有相关文件放入其中。 配置系统环境变量时,需添加 Java 和 Maven 的路径,以及设置 ROCKETMQ_HOME 指向 RocketMQ 的安装目录。 启动 RocketMQ 服务时,需先启动 NameServer,再启动 Broker,并确保不要关闭启动窗口。 对于可视化插件的配置,需修改 application.properties 文件中的端口和 RocketMQ 链接信息,并通过 Maven 编译生成 jar 文件后启动。 具体的安装和配置步骤,可参考以下教程: 消息队列 RocketMQ 并发量十万级 Windows 下 RocketMQ 安装部署教程 RocketMQ 安装 For Windows10(完整版) 通过以上资源和
Apache RocketMQ TLS性能影响:加密对吞吐量的影响测试
最新发布
gitblog_00850的博客
09-09 979
你是否在生产环境中启用了TLS(传输层安全协议,Transport Layer Security)却困惑于性能下降的具体数值?作为分布式系统的"神经中枢",消息中间件Apache RocketMQ加密传输配置往往陷入安全与性能的两难抉择。本文通过严格的基准测试,量化分析TLS加密对RocketMQ吞吐量的实际影响,并提供经过验证的性能优化方案。 读完本文你将获得: - 不同加密套件下的吞吐量衰...
使用 SSL/TLS 加密保障 RocketMQ 的安全传输
FireFox1997
08-06 3460
SSL(Secure Sockets Layer)和 TLS(Transport Layer Security)是用于保护数据在网络上传输的加密协议。TLS 是 SSL 的继任者,提供了更强的安全性。通过 SSL/TLS,可以实现数据的加密传输,确保数据的机密性、完整性和身份验证。通过配置 SSL/TLS 加密,RocketMQ 可以显著提升数据传输的安全性。在生产环境中,建议使用由受信任的证书颁发机构(CA)签署的证书,进一步提高安全性。
RocketMq配置rocketmq-console控制台管理账号密码
热门推荐
weixin_44121378的博客
02-24 1万+
官方下载地址 :https://github.com/apache/rocketmq-externals.git 官方下载的控制台不够完善,存在有时候配置无效。以及没有ACL功能 可以在博主的资源中下载已经封装了ACL功能的资源包 一、开启登录验证配置 在application.properties配置文件中,将rocketmq.config.loginRequired设置为ture,在不填写的情况下 默认为false。 二、配置账号密码 1在resources目录下新建users.propertie
RocketMQ dashboard面板设置密码
学亮编程手记
08-01 1054
操作面板没有设置密码,在实际应用中,也是很危险的。
rocketmq-dashboard docker部署设置账号密码
IT匠人的博客
11-15 4756
【代码】rocketmq-dashboard docker部署设置账号密码
RocketMQ 控制台增加帐号密码(用户名密码
H_O_W_E的专栏
01-28 8952
RocketMQ 控制台增加帐号密码(用户名密码) 第1步: 在application.properties设置rocketmq.config.loginRequired=true 第2步: 在user.properties设置帐号密码
Redis缓存与非对称加密技术详解及应用实践
初始阶段采用非对称加密协商出一个临时的对称密钥(如AES密钥),之后的数据传输则使用该对称密钥进行高效加密。这一过程结合了非对称加密的安全性和对称加密的高性能优势。此外,数字证书由CA机构签发,绑定域名与...
mqtt简介和bifromq使用
xixingzhe2的博客
05-15 1221
Mosquitto:适合资源受限的物联网设备和轻量级应用场景,具有低资源占用、简单易用和跨平台的特点。:适合对吞吐量要求较高的物联网场景,支持高吞吐量和顺序消息。BifroMQ:适合大规模物联网设备连接和高吞吐量场景,具有高性能、低时延和多租户支持的特点。
关于阿里云-云消息队列MQTT的连接和使用,以及SpringBoot的集成使用
eternally_zh128@sina.com的博客
06-13 1082
物联网弱联网设备接入MQTT协议,与服务端SpringBoot通信,进行发布订阅数据交互的一次笔记记录
那客户是怎么和客服通信的
02-28
| 推送通知 | MQTT 5.0 | 8883 | TLS-PSK | --- ### 三、实时消息处理流程 #### 1. 消息时序图 ```plaintext Client -> Gateway: WS连接建立(包含JWT鉴权) Gateway -> Auth: 验证Token有效性 Auth --> Gateway:...
RocketMQ 5.x设置账号密码(开启ACL)及rocketmq-dashboard配置
学亮编程手记
08-01 944
【代码】RocketMQ 5.x设置账号密码(开启ACL)及rocketmq-dashboard配置
docker 搭建 RocketMQ docker搭建RocketMQ 可视化界面 ,开启控制台密码和acl密码
weixin_32822759的博客
07-23 1476
docker安装Elasticsearch+Kibana+密码配置
RocketMQ管理后台修改登录密码
HaleyTiger的博客
09-12 1960
修改rocketmq-console-ng-1.0.1.jar ——> rocketmq-console-ng-1.0.1.rar 后缀名再改回去:rocketmq-console-ng-1.0.1.rar——> rocketmq-console-ng-1.0.1.jar 重启管理后台: (1)kill -9 进程ID (2)启动 nohup java -jar /data/rocketmq/rocketmq-console-ng-1.0.1.jar > /data/logs/ro
Rocketmq学习1
trytostudy的博客
08-01 369
首先从github中拉取Rocketmq的代码,进行运行。 1.由于rocketmq需要依赖nameServer,类似于zookeeper。首先启动时,配置好NamesrvStartup的环境变量信息,也即rocketmq的ROCKEMQ_HOME与你的项目对应。接着就可以启动了。 /** * nameServer启动类 */ public class NamesrvStartup { private static InternalLogger log; private static
RocketMQ
weixin_46061449的博客
02-05 5912
RocketMQ 详情以及使用
OpenLDAP TLS加密传输配置指南(附完整shell脚本)
根据提供的文件信息,以下是对OpenLDAP配置TLS加密传输的详细知识点说明: 1. OpenLDAP简介 OpenLDAP是LDAP(轻量目录访问协议)的一种实现,广泛用于存储和管理用户身份认证信息和其他类型的网络服务信息。它支持...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值