Pulsar TLS 传输加密

        默认情况下,Apache Pulsar客户端以纯文本与Apache Pulsar服务通信。可以通过配置TLS传输加密,开启TLS要影响传输性能。
        以下是具体配置Pulsar TLS操作和注意事项。(Pulsar 2.4.2版本测试通过)
        一  创建根证书CA
        /data目录下
        $ mkdir my-ca
        $ cd my-ca
        $ wget --no-check-certificate https://raw.githubusercontent.com/apache/pulsar/master/site2/website/static/examples/openssl.cnf
        $ export CA_HOME=$(pwd)
        $ mkdir certs crl newcerts private
        $ chmod 700 private/
        $ touch index.txt
        $ echo 1000 > serial
        生成根证书的私钥,需要录入秘密,记录此密码后边会使用
        $ openssl genrsa -aes256 -out private/ca.key.pem 4096
        生成根证书CA
        $openssl req -config openssl.cnf -key private/ca.key.pem /
         -new -x509 -days 7300 -sha256 -extensions v3_ca /
         -out certs/ca.cert.pem
        1)先录入上边的私钥密码
        2)填写信息,记录录入的信息后边用到
         Country Name (2 letter code):CN  //国家名
         State or Province Name:beijing    //省名
         Locality Name:beijing                   //城市名
         Organization Name:test               //组织名称
         Organizational Unit Name:test    //组织单位名称
         Common Name:  服务器域名或是ip
         Email Address:邮件
         $ chmod 444 certs/ca.cert.pem

         二 生成服务器证书
         生成服务器证书密钥
         $ openssl genrsa -out broker.key.pem 2048
         $ openssl pkcs8 -topk8 -inform PEM -outform PEM /
           -in broker.key.pem -out broker.key-pk8.pem -nocrypt
          生成服务器证书请求,根据提示填写信息国家等基本信息和CA根证书一一致。
          Common Name要填写服务器的域名(单Broker可以填写IP)
         $ openssl req -config openssl.cnf /
           -key broker.key.pem -new -sha256 -out broker.csr.pem         
         $ openssl ca -config openssl.cnf -extensions server_cert /
           -days 1000 -notext -md sha256 /
           -in broker.csr.pem -out broker.cert.pem

        三 Broker配置
        broker.conf文件中
        默认brokerServicePortTls  webServicePortTls为空,不启动TLS通过填写端口号告诉服务器开启TL通道,
        如果相关闭普通通道把brokerServicePort和webServicePort的端口去掉。
        brokerServicePort=6650     
        brokerServicePortTls=6651
        webServicePort=8080
        webServicePortTls=8443
        tlsCertificateFilePath=/data/my-ca/broker.cert.pem
        tlsKeyFilePath=/data/my-ca/broker.key-pk8.pem
        tlsTrustCertsFilePath=/data/my-ca/certs/ca.cert.pem
        注意:官方文档中tlsProtocols tlsCiphers 如果配置了我使用客户端测试时会不通过。此两项不填写测试可以通过。

        四 配置完成broker.conf启动Broker查看日志文件提示以下信息说明服务端开启了TLS服务
         Started PulsarServerConnector@6a2eea2a{SSL,[ssl, http/1.1]}{0.0.0.0:8443}

        五 JAVA客户端测试
           1)拷出刚才生成的公有证书 /data/my-ca/certs/ca.cert.pem 放到客户端服务上
           2)java 主要代码,发送或接收数据正常说明配置成功
             PulsarClient client =PulsarClient.builder()
                .serviceUrl(url)
                .tlsTrustCertsFilePath("D:/jar/ca.cert.pem")//客户端服务器上公有证书路径
                .enableTlsHostnameVerification(false) 
                .allowTlsInsecureConnection(false)

原创文章,作者:carmelaweatherly,如若转载,请注明出处:https://blog.ytso.com/195957.html

(0)
上一篇 2021年11月16日
下一篇 2021年11月16日

相关推荐

发表回复

登录后才能评论