centos kafka如何配置SSL加密

在CentOS上配置Kafka以使用SSL加密涉及几个步骤。以下是一个基本的指南，帮助你设置SSL加密：

1. 生成SSL证书和密钥

首先，你需要生成SSL证书和密钥。你可以使用OpenSSL来生成这些文件。

生成服务器证书和密钥

# 创建一个目录来存储证书和密钥
mkdir -p /etc/kafka/ssl

# 生成服务器私钥
openssl genrsa -des3 -out /etc/kafka/ssl/server.key 2048

# 生成服务器证书签名请求 (CSR)
openssl req -new -key /etc/kafka/ssl/server.key -out /etc/kafka/ssl/server.csr -subj "/CN=kafka-server"

# 去除私钥的密码
openssl rsa -in /etc/kafka/ssl/server.key -out /etc/kafka/ssl/server.key

# 生成自签名证书
openssl x509 -req -days 365 -in /etc/kafka/ssl/server.csr -signkey /etc/kafka/ssl/server.key -out /etc/kafka/ssl/server.crt

生成客户端证书和密钥

你可以为每个客户端生成类似的证书和密钥。

# 生成客户端私钥
openssl genrsa -des3 -out /etc/kafka/ssl/client.key 2048

# 生成客户端证书签名请求 (CSR)
openssl req -new -key /etc/kafka/ssl/client.key -out /etc/kafka/ssl/client.csr -subj "/CN=client-name"

# 去除私钥的密码
openssl rsa -in /etc/kafka/ssl/client.key -out /etc/kafka/ssl/client.key

# 生成自签名证书
openssl x509 -req -days 365 -in /etc/kafka/ssl/client.csr -signkey /etc/kafka/ssl/client.key -out /etc/kafka/ssl/client.crt

2. 配置Kafka服务器

编辑Kafka服务器的配置文件 server.properties，通常位于 /etc/kafka/config/ 目录下。

# 启用SSL
listeners=SSL://:9093
advertised.listeners=SSL://your-server-hostname:9093

# SSL配置
ssl.keystore.location=/etc/kafka/ssl/server.jks
ssl.keystore.password=your-keystore-password
ssl.key.password=your-key-password
ssl.truststore.location=/etc/kafka/ssl/server.jks
ssl.truststore.password=your-truststore-password

# 启用SASL_PLAINTEXT和SASL_SSL
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN

3. 配置Kafka客户端

编辑Kafka客户端的配置文件 client.properties，通常位于 /etc/kafka/config/ 目录下。

# 启用SSL
security.protocol=SSL

# SSL配置
ssl.truststore.location=/etc/kafka/ssl/client.jks
ssl.truststore.password=your-truststore-password
ssl.keystore.location=/etc/kafka/ssl/client.jks
ssl.keystore.password=your-keystore-password

# SASL配置
sasl.mechanism=PLAIN
security.protocol=SASL_SSL

4. 创建Java KeyStore和TrustStore

将生成的证书和密钥导入到Java KeyStore和TrustStore中。

创建KeyStore

keytool -import -alias kafka-server -file /etc/kafka/ssl/server.crt -keystore /etc/kafka/ssl/server.jks -storepass your-keystore-password

创建TrustStore

keytool -import -alias kafka-server -file /etc/kafka/ssl/server.crt -keystore /etc/kafka/ssl/server.jks -storepass your-truststore-password

对于客户端：

keytool -import -alias client-name -file /etc/kafka/ssl/client.crt -keystore /etc/kafka/ssl/client.jks -storepass your-keystore-password

5. 重启Kafka服务器

完成上述配置后，重启Kafka服务器以应用更改。

systemctl restart kafka

6. 验证SSL连接

你可以使用Kafka自带的工具来验证SSL连接是否成功。

kafka-console-producer --broker-list your-server-hostname:9093 --topic test --property security.protocol=SSL --property ssl.truststore.location=/etc/kafka/ssl/client.jks --property ssl.truststore.password=your-truststore-password --property ssl.keystore.location=/etc/kafka/ssl/client.jks --property ssl.keystore.password=your-keystore-password

通过这些步骤，你应该能够在CentOS上成功配置Kafka以使用SSL加密。