Apache Kafka 支持 SSL 加密通信,以确保在客户端和服务器之间传输的数据安全。要配置 Kafka 的 SSL 加密通信,请按照以下步骤操作:
首先,您需要为 Kafka 服务器和客户端生成证书和密钥。可以使用 Java 的 keytool 命令或其他工具(如 OpenSSL)来生成。以下是使用 keytool 生成自签名证书的示例:
# 生成根证书颁发机构 (CA)
keytool -genkey -alias kafka-ca -keyalg RSA -keystore kafka-ca.jks -storepass my-password -validity 3650
# 生成 Kafka 服务器证书
keytool -genkey -alias kafka-server -keyalg RSA -keystore kafka-server.jks -storepass my-password -validity 3650 -keysize 2048 -ext SAN=dns:kafka.example.com
# 从根 CA 导出服务器证书
keytool -export -alias kafka-server -file kafka-server.crt -keystore kafka-server.jks -storepass my-password
# 将服务器证书导入到信任库
keytool -import -alias kafka-server -file kafka-server.crt -keystore kafka-ca.jks -storepass my-password
# 生成客户端证书
keytool -genkey -alias kafka-client -keyalg RSA -keystore kafka-client.jks -storepass my-password -validity 3650 -keysize 2048 -ext SAN=dns:client.example.com
# 从根 CA 导出客户端证书
keytool -export -alias kafka-client -file kafka-client.crt -keystore kafka-client.jks -storepass my-password
# 将客户端证书导入到信任库
keytool -import -alias kafka-client -file kafka-client.crt -keystore kafka-ca.jks -storepass my-password
编辑 Kafka 服务器的配置文件 server.properties,添加以下配置:
# 启用 SSL
listeners=SSL://:9093
ssl.keystore.location=/path/to/kafka-server.jks
ssl.keystore.password=my-password
ssl.key.password=my-password
ssl.truststore.location=/path/to/kafka-ca.jks
ssl.truststore.password=my-password
ssl.client.auth=required
ssl.protocol=TLSv1.2
编辑 Kafka 客户端的配置文件(如 producer.properties 或 consumer.properties),添加以下配置:
# 启用 SSL
security.protocol=SSL
ssl.truststore.location=/path/to/kafka-ca.jks
ssl.truststore.password=my-password
ssl.keystore.location=/path/to/kafka-client.jks
ssl.keystore.password=my-password
ssl.key.password=my-password
ssl.protocol=TLSv1.2
完成上述配置后,重启 Kafka 服务器和客户端以使更改生效。
现在,Kafka 服务器和客户端之间的通信将通过 SSL 加密。请注意,这里的示例使用了自签名证书,实际生产环境中建议使用由权威证书颁发机构 (CA) 签发的证书。
