kafka SSL认证_kafka caroot.cer

认证参考官网，但是官网有一个坑，下面会讲到。

1.创建一个我文件夹mkdir cert用于存储一会儿生成的文件

2.在cert.sh脚本中写入如下内容

#!/bin/bash
#Step 1
keytool -keystore server.keystore.jks -alias localhost -validity 365 -genkey
#Step 2
openssl req -new -x509 -keyout ca-key -out ca-cert -days 365
keytool -keystore server.truststore.jks -alias CARoot -import -file ca-cert
keytool -keystore client.truststore.jks -alias CARoot -import -file ca-cert
#Step 3
keytool -keystore server.keystore.jks -alias localhost -certreq -file cert-file
openssl x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out cert-signed -days 365 -CAcreateserial -passin pass:test1234
keytool -keystore server.keystore.jks -alias CARoot -import -file ca-cert
keytool -keystore server.keystore.jks -alias localhost -import -file cert-signed

3.执行上述脚本。会出现很多次提示输入密码等，根据实际情况输入即可。        

在当前目录下会生成如下内容

➜ ll
总用量 40K
-rw-rw-r-- 1 root root 1.4K 1月   9 18:55 ca-cert
-rw-rw-r-- 1 root root   41 1月   9 18:55 ca-cert.srl
-rw------- 1 root root 1.9K 1月   9 18:54 ca-key
-rw-rw-r-- 1 root root 1.6K 1月   9 18:55 cert-file
-rw-rw-r-- 1 root root 2.0K 1月   9 18:55 cert-signed
-rw-rw-r-- 1 root root 1.1K 1月   9 18:55 client.truststore.jks
-rwxrwxr-x 1 root root  687 1月   9 18:53 gen_cert.sh
-rw-rw-r-- 1 root root 4.1K 1月   9 18:55 server.keystore.jks
-rw-rw-r-- 1 root root 1.1K 1月   9 18:55 server.truststore.jks

4.server.properties文件中添加如下配置,注意jks结尾文件的路径

listeners=SSL://0.0.0.0:8082,CONTROLLER://:9093
advertised.listeners=SSL://12.120.20.3:8082
 
ssl.keystore.location=/data/cert/server.keystore.jks
ssl.keystore.password=admin
ssl.key.password=admin
ssl.truststore.location=/data/cert/server.truststore.jks
ssl.truststore.password=admin
# 这一行官方文档没有，加上，否则可能报错，No subject alternative names present
ssl.endpoint.identification.algorithm=
 
# inter.broker.listener.name=PLAINTEXT # 这句注释掉，加入下面这句
security.inter.broker.protocol=SSL

5.重启kafka

6.控制台生产者消费者client-ssl.properties(名称位置都随意，在使用的时候会指定文件)配置文件内容可以共用一个，写入如下内容。如果不需要控制台测试可以不写

security.protocol=SSL
ssl.truststore.location=/data/cert/client.truststore.jks
ssl.truststore.password=admin
# 这句必须有，否则报错：No subject alternative names present
ssl.endpoint.identification.algorithm=

控制台生产者：bin/kafka-console-producer.sh --topic aa --bootstrap-server 172.20.2.3:8082 --producer.config config/kraft/client-ssl.properties。注意这里指定了上述配置我文件。

控制台消费者：bin/kafka-console-consumer.sh --bootstrap-server 172.20.2.3:8082 --topic aa --consumer.config config/kraft/client-ssl.properties。同样的这里指定了上述配置文件。

7.Springboot集成ssl认证的kafka

spring:
  kafka:
    bootstrap-servers: 172.20.2.3:8082
    consumer:
      key-deserializer: org.apache.kafka.common.serialization.StringDeserializer
      value-deserializer: org.apache.kafka.common.serialization.StringDeserializer
      # 主要加入下面10行
      ssl:
        trust-store-password: admin
        trust-store-location: client.truststore.jks
      security:
        protocol: SSL
      properties:
        ssl:
          endpoint:
            identification:
              algorithm: ''
    producer:
      key-serializer: org.apache.kafka.common.serialization.StringSerializer
      value-serializer: org.apache.kafka.common.serialization.StringSerializer
      # 主要加入下面10行
      security:
        protocol: SSL
      properties:
        ssl:
          endpoint:
            identification:
              algorithm: ''
      ssl:
        trust-store-password: admin
        trust-store-location: client.truststore.jks