centos kafka如何配置SSL加密_产品动态_资讯中心

发布时间:2026-04-26 18:03:40

阅读量:3

在CentOS上配置Kafka以使用SSL加密涉及几个步骤。以下是一个基本的指南，帮助你设置SSL加密：

1. 生成SSL证书和密钥

首先，你需要生成SSL证书和密钥。你可以使用OpenSSL来生成这些文件。

生成服务器证书和密钥

# 创建一个目录来存储证书和密钥
mkdir -p /etc/kafka/ssl

# 生成服务器私钥
openssl genrsa -des3 -out /etc/kafka/ssl/server.key 2048

# 生成服务器证书签名请求 (CSR)
openssl req -new -key /etc/kafka/ssl/server.key -out /etc/kafka/ssl/server.csr -subj "/CN=kafka-server"

# 去除私钥的密码
openssl rsa -in /etc/kafka/ssl/server.key -out /etc/kafka/ssl/server.key

# 生成自签名证书
openssl x509 -req -days 365 -in /etc/kafka/ssl/server.csr -signkey /etc/kafka/ssl/server.key -out /etc/kafka/ssl/server.crt

生成客户端证书和密钥

你可以为每个客户端生成类似的证书和密钥。

# 生成客户端私钥
openssl genrsa -des3 -out /etc/kafka/ssl/client.key 2048

# 生成客户端证书签名请求 (CSR)
openssl req -new -key /etc/kafka/ssl/client.key -out /etc/kafka/ssl/client.csr -subj "/CN=client-name"

# 去除私钥的密码
openssl rsa -in /etc/kafka/ssl/client.key -out /etc/kafka/ssl/client.key

# 生成自签名证书
openssl x509 -req -days 365 -in /etc/kafka/ssl/client.csr -signkey /etc/kafka/ssl/client.key -out /etc/kafka/ssl/client.crt

2. 配置Kafka服务器

编辑Kafka服务器的配置文件 server.properties，通常位于 /etc/kafka/config/ 目录下。

# 启用SSL
listeners=SSL://:9093
advertised.listeners=SSL://your-server-hostname:9093

# SSL配置
ssl.keystore.location=/etc/kafka/ssl/server.jks
ssl.keystore.password=your-keystore-password
ssl.key.password=your-key-password
ssl.truststore.location=/etc/kafka/ssl/server.jks
ssl.truststore.password=your-truststore-password

# 启用SASL_PLAINTEXT和SASL_SSL
security.inter.broker.protocol=SASL_SSL
sasl.mechanism.inter.broker.protocol=PLAIN
sasl.enabled.mechanisms=PLAIN

3. 配置Kafka客户端

编辑Kafka客户端的配置文件 client.properties，通常位于 /etc/kafka/config/ 目录下。

# 启用SSL
security.protocol=SSL

# SSL配置
ssl.truststore.location=/etc/kafka/ssl/client.jks
ssl.truststore.password=your-truststore-password
ssl.keystore.location=/etc/kafka/ssl/client.jks
ssl.keystore.password=your-keystore-password

# SASL配置
sasl.mechanism=PLAIN
security.protocol=SASL_SSL

4. 创建Java KeyStore和TrustStore

将生成的证书和密钥导入到Java KeyStore和TrustStore中。

创建KeyStore

keytool -import -alias kafka-server -file /etc/kafka/ssl/server.crt -keystore /etc/kafka/ssl/server.jks -storepass your-keystore-password

创建TrustStore

keytool -import -alias kafka-server -file /etc/kafka/ssl/server.crt -keystore /etc/kafka/ssl/server.jks -storepass your-truststore-password

对于客户端：

keytool -import -alias client-name -file /etc/kafka/ssl/client.crt -keystore /etc/kafka/ssl/client.jks -storepass your-keystore-password

5. 重启Kafka服务器

完成上述配置后，重启Kafka服务器以应用更改。

systemctl restart kafka

6. 验证SSL连接

你可以使用Kafka自带的工具来验证SSL连接是否成功。

kafka-console-producer --broker-list your-server-hostname:9093 --topic test --property security.protocol=SSL --property ssl.truststore.location=/etc/kafka/ssl/client.jks --property ssl.truststore.password=your-truststore-password --property ssl.keystore.location=/etc/kafka/ssl/client.jks --property ssl.keystore.password=your-keystore-password

通过这些步骤，你应该能够在CentOS上成功配置Kafka以使用SSL加密。

以上就是关于“centos kafka如何配置SSL加密”的相关介绍，筋斗云是国内较早的云主机应用的服务商，拥有10余年行业经验，提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩，主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复；电子化备案，提交快速，专业团队7×24小时服务支持！

简单好用、高性价比云服务器租用链接：https://www.jindouyun.cn/product/cvm