Kafka Security 配置SSL

最新推荐文章于 2025-05-23 18:17:58 发布
原创 最新推荐文章于 2025-05-23 18:17:58 发布 · 6.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kafka

本文介绍如何使用 keytool 和 openssl 工具为 Kafka 生成和配置 SSL 证书,包括服务器和客户端的 keystore 和 truststore 的创建过程,并演示了如何验证 SSL 连接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#!/bin/bash
# 生成服务器keystore(密钥和证书)
keytool -keystore server.keystore.jks -alias machine03.zheng.com -validity 365 -keyalg RSA -storepass leonzheng -keypass leonzheng -genkey -dname "C=CN,ST=FJ,L=FZ,O=LEON,OU=LEON,CN=ZHENG.COM"
# 生成客户端keystore(密钥和证书)
keytool -keystore client.keystore.jks -alias machine03.zheng.com -validity 365 -keyalg RSA -storepass leonzheng -keypass leonzheng -genkey -dname "C=CN,ST=FJ,L=FZ,O=LEON,OU=LEON,CN=ZHENG.COM"
# 创建CA证书
openssl req -new -x509 -keyout ca.key -out ca.crt -days 365 -passout pass:leonzheng -subj "/C=CN/ST=FJ/L=FZ/O=LEON/OU=LEON/CN=ZHENG.COM"
# 将CA证书导入到服务器truststore
keytool -keystore server.truststore.jks -alias CARoot -import -file ca.crt -storepass leonzheng
# 将CA证书导入到客户端truststore
keytool -keystore client.truststore.jks -alias CARoot -import -file ca.crt -storepass leonzheng
# 导出服务器证书
keytool -keystore server.keystore.jks -alias machine03.zheng.com -certreq -file cert-file -storepass leonzheng
keytool -keystore client.keystore.jks -alias machine03.zheng.com -certreq -file client-cert-file -storepass leonzheng
# 用CA证书给服务器证书签名
openssl x509 -req -CA ca.crt -CAkey ca.key -in cert-file -out cert-signed -days 365 -CAcreateserial -passin pass:leonzheng
openssl x509 -req -CA ca.crt -CAkey ca.key -in client-cert-file -out client-cert-signed -days 365 -CAcreateserial -passin pass:leonzheng
# 将CA证书导入服务器keystore
keytool -keystore server.keystore.jks -alias CARoot -import -file ca.crt -storepass leonzheng
keytool -keystore client.keystore.jks -alias CARoot -import -file ca.crt -storepass leonzheng
# 将已签名的服务器证书导入服务器keystore
keytool -keystore server.keystore.jks -alias machine03.zheng.com -import -file cert-signed -storepass leonzheng
keytool -keystore client.keystore.jks -alias machine03.zheng.com -import -file client-cert-signed -storepass leonzheng

验证ssl
openssl s_client -debug -connect 192.168.12.33:9093 -tls1
openssl s_client -debug -connect 192.168.12.33:9092 -tls1


config/server.properties

ssl.client.auth=required
ssl.keystore.location=/usr/local/kafka_2.11-0.10.1.0/ssl/server.keystore.jks
ssl.keystore.password=leonzheng
ssl.key.password=leonzheng
ssl.truststore.location=/usr/local/kafka_2.11-0.10.1.0/ssl/server.truststore.jks
ssl.truststore.password=leonzheng

clientssl.properties

security.protocol=SSL
ssl.truststore.location=/usr/local/kafka_2.11-0.10.1.0/ssl/client.truststore.jks
ssl.truststore.password=leonzheng
ssl.keystore.location=/usr/local/kafka_2.11-0.10.1.0/ssl/client.keystore.jks
ssl.keystore.password=leonzheng
ssl.key.password=leonzheng

bin/kafka-topics.sh --zookeeper 192.168.12.33:2181,192.168.12.33:2182,192.168.12.33:2183/kafka --create --topic testssl --partitions 3 --replication-factor 1

bin/kafka-console-producer.sh --broker-list 192.168.12.33:9093 --topic testssl --producer.config /usr/local/kafka_2.11-0.10.1.0/ssl/clientssl.properties

bin/kafka-console-consumer.sh --bootstrap-server 192.168.12.33:9093 --topic testssl --from-beginning --consumer.config /usr/local/kafka_2.11-0.10.1.0/ssl/clientssl.properties


required的适用于对客户端安全验证比较严格的场景,比如某些操作只能由特定的设备发起才能被允许访问资源
requested适用于对客户端安全验证比较宽松的场景,客户端可以决定是否提供验证信息,如果未提供或已提供未通过,仍然允许访问资源

Kafka安全配置:保护你的实时数据流
大数据洞察的博客
06-12 744
随着企业数字化转型加速,Kafka已成为金融、电商、物流等行业的“数据大动脉”:从用户点击行为到支付交易,从传感器数据到日志分析,每天有数以万亿计的消息通过Kafka流动。但2023年的一份安全报告显示,38%的Kafka集群因未正确配置安全功能导致数据泄露。本文将聚焦Kafka的核心安全机制(认证、加密、授权),覆盖Kafka 2.8+版本的主流配置方案,帮助开发者构建可落地的安全防护体系。本文将按照“故事引入→核心概念→原理拆解→实战配置→场景应用”的逻辑展开。
KafkaKafka如何开启SSL 控制台消费与生产 代码消费与生产
九师兄
08-06 2314
Kafka 0.9.0.0之后,Kafka社区增加了一系列的功能,其中包含对Kafka集群进行安全管控。Broker与Client之间的权限认证(例如Producer和Consumer)。可以使用SSL或SASL,而SASL支持如下方案:SASL/GSSAPI(Kerberos),开始于0.9.0.0版本SASL/PLAIN,开始于0.10.0.0版本SASL/SCRAM-SHA-256和SASL/SCRAM-SHA-512,开始于0.10.2.0版本。
kafka SSL证书生成配置
Sy9876的专栏
08-15 8398
apache kafka可以使用SSL加密连接,还可以限制客户端访问, 给客户端发行证书,只允许持有证书的客户端访问。下面使用jdk的keytool工具来生成证书,配置kafka
kafka配置SSL(shell脚本)
04-11
kafka配置SSL的前几步骤,写成shell脚本了,方便!博客参考:https://blog.youkuaiyun.com/qq_34021712/article/details/79902479
Kafka配置SSL加密传输
qq_41527073的博客
11-04 8800
Kafka配置SSL加密传输 一、证书配置 1、生成证书 如我输入命令如下:依次是 密码—重输密码—名与姓—组织单位—组织名—城市—省份—国家两位代码—密码—重输密码,后面告警不用管,此步骤要注意的是,名与姓这一项必须输入域名,如 “localhost”,切记不可以随意写,我曾尝试使用其他字符串,在后面客户端生成证书认证的时候一直有问题。 keytool -keystore server.keystore.jks -alias localhost -validity 3650 -genkey Enter k
kafka2.x版本配置SSL进行加密和身份验证
heming20122012的专栏
03-19 3890
与步骤 1 中存储每台机器自己的身份的密钥库不同,客户机的信任库存储客户机应信任的所有证书。您可以使用单个 CA 对集群中的所有证书进行签名,并让所有计算机共享信任该 CA 的同一信任库。因此,只要 CA 是真实且受信任的颁发机构,客户端就可以高度保证它们连接到真实的计算机。部署一个或多个支持 SSL 的代理的第一步是为集群中的每台计算机生成密钥和证书。完成第一步后,群集中的每台计算机都有一个公钥-私钥对,以及一个用于标识计算机的证书。生成的 CA 只是一个公钥-私钥对和证书,它旨在对其他证书进行签名。
Kafka配置SSL安全认
m0_61332144的博客
02-28 3389
Kafka配置SSL安全认证
kafka sasl_ssl配置
totoro1992的博客
09-29 2746
kafka sasl_ssl配置
Kafka SASL_SSL双重认证
weixin_44783506的博客
02-05 4662
kafka提供了多种安全认证机制,主要分为SASL和SSL两大类。在 Kafka 中启用 SASL_SSL 安全协议时,SASL 用于客户端和服务器之间的身份验证,SSL 则用于加密和保护数据的传输。不仅提供身份验证,还提供加密和数据保护的功能。因工作需要,需要在测试环境搭建一套基于SASL_SSL协议的kafka环境。坑比较多,经过两天的研究终于搞定了,特在此记录下。
springboot 集成kafka,采用ssl认证配置及问题汇总
zxs281的博客
05-25 3789
因为一直处于当前管理岗,开发量减少,偶尔遇到点问题还有掉小兴奋,记录一下,供各位参考 kafka版本:kafka-0.10.2.0 部署方式:集群部署,共5个节点 认证方式:ssl认证 springboot集成kafka的代码,当前演示的是生产者 依赖项: <dependency> <groupId>org.apache.kafka</groupId> <artifactId>kafka-c.
Kafka SSL安装与配置
csdn_manong1的博客
10-08 1035
Kafka 0.9.0.0之后,Kafka社区增加了一系列的功能,其中包含对Kafka集群进行安全管控。Broker与Client之间的权限认证(例如Producer和Consumer)。可以使用SSL或SASL,而SASL支持如下方案:SASL/GSSAPI(Kerberos),开始于0.9.0.0版本SASL/PLAIN,开始于0.10.0.0版本SASL/SCRAM-SHA-256和SASL/SCRAM-SHA-512,开始于0.10.2.0版本。
Kafka配置SSL认证
热门推荐
JustryDeng
03-10 2万+
目录 Kafka配置SSL认证 使用kafka自带的消费者生产者测试一下 我是一只小小小小鸟~嗷!嗷! Kafka配置SSL认证 准备工作:生成SSL相关证书 注:详见https://blog.youkuaiyun.com/justry_deng/article/details/88383081。 注:其实对于本节内容来说,有SSL的服务端证书就够了。 第一步:修改kafka安装目录下conf...
kafka SSL配置随笔
qq_41574772的博客
03-15 2237
讲解关于kafkassl配置和参考资料
kafka开启SSL认证(包括内置zookeeper开启SSL
m0_37817986的博客
11-09 2477
zookeeper和kafkaSSL开启都可独立进行。
单机Kafka配置ssl并在springboot使用
最新发布
执念的帅气花
05-23 1347
本文介绍了Kafka如何配置ssl,以及在springboot的实际运用
[Kafka集群] 配置支持Brokers内部SSL认证\外部客户端支持SASL_SSL认证并集成spring-cloud-starter-bus-kafka
FaceFullofConfused的博客
07-16 2292
Kafka集群配置支持Brokers内部SSL认证\外部客户端支持SASL_SSL认证并集成spring-cloud-starter-bus-kafka
Kafka】手把手SASL,SSL教学
metaldong的博客
01-12 4488
kafka的SASL和SSL配置全指南
Kafka ssl 配置
u013887254的专栏
11-24 2418
Kafka SSL配置说明 所有配置主要参考官网文档。部分openssl操作可以参考:https://blog.youkuaiyun.com/bbwangj/article/details/82503675这篇文章介绍。实际不需要记那么多。 操作 下载kafka_2.12-2.3.0并解压 macBook:kafka_2.12-2.3.0 nobleyd$ pwd /Applications/so...
kafka与zookeeper的SSL认证教程
乐维社区的博客
07-11 2161
setAcl / ip:127.0.0.1:cdrwa,auth:kafka:kafka@123:cdrwa #(设置可以登陆的IP和用户账号密码,admin是上面的zk的配置文件里面定义的管理员,Kafka用户是/asop/kafka/kafka_2.11-2.1.0/config/kafka_server_jaas.conf文件里面的定义的kafka连接zk的用户 (Client下面的))/asop/zk/zookeeper-3.4.13/bin/zkCli.sh #进入zk的命令行模式。
docker kafka配置SSL
05-24
要在 Docker 中配置 Kafka SSL,您需要执行以下步骤: 1. 首先,您需要为 Kafka 生成 SSL 证书。您可以使用 openssl 命令生成自签名证书。假设您已经生成了证书并将其保存在 /path/to/ssl 目录中。 2. 然后,您需要将证书添加到 Kafka 配置中。您可以在 Kafka 配置文件中添加以下内容: ``` listeners=PLAINTEXT://:9092,SSL://:9093 ssl.keystore.location=/path/to/ssl/kafka.server.keystore.jks ssl.keystore.password=<password> ssl.key.password=<password> ssl.truststore.location=/path/to/ssl/kafka.server.truststore.jks ssl.truststore.password=<password> ``` 其中,ssl.keystore.location 和 ssl.truststore.location 需要指向包含 SSL 证书的 jks 文件的路径。ssl.keystore.password,ssl.key.password 和 ssl.truststore.password 是 jks 文件的密码。 3. 接下来,您需要将证书添加到 Kafka 容器中。您可以使用 Dockerfile 或 docker run 命令中的 -v 标志将证书添加到容器中。假设您已将证书保存在 /path/to/ssl 目录中,您可以使用以下命令将其添加到容器中: ``` docker run -v /path/to/ssl:/ssl -p 9092:9092 -p 9093:9093 -e KAFKA_ADVERTISED_HOST_NAME=<host_name> -e KAFKA_SSL_KEYSTORE_LOCATION=/ssl/kafka.server.keystore.jks -e KAFKA_SSL_KEYSTORE_PASSWORD=<password> -e KAFKA_SSL_KEY_PASSWORD=<password> -e KAFKA_SSL_TRUSTSTORE_LOCATION=/ssl/kafka.server.truststore.jks -e KAFKA_SSL_TRUSTSTORE_PASSWORD=<password> confluentinc/cp-kafka ``` 其中,-v 标志将 /path/to/ssl 目录映射到容器内的 /ssl 目录。-e 标志将 SSL 证书和密码添加到容器的环境变量中。 4. 最后,您需要在 Kafka 客户端中使用 SSL 连接。您可以在客户端配置文件中添加以下内容: ``` security.protocol=SSL ssl.truststore.location=/path/to/ssl/kafka.client.truststore.jks ssl.truststore.password=<password> ssl.keystore.location=/path/to/ssl/kafka.client.keystore.jks ssl.keystore.password=<password> ssl.key.password=<password> ``` 其中,ssl.truststore.location 和 ssl.truststore.password 应该与 Kafka 服务器配置中的相同。ssl.keystore.location,ssl.keystore.password 和 ssl.key.password 应该与客户端证书的位置和密码相同。 以上就是在 Docker 中配置 Kafka SSL 的步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值