Pulsar TLS 传输加密

原创

TurboDX 2019-12-26 16:36:32 博主文章分类：Pulsar ©著作权

文章标签 Pulsar TLS 文章分类 大数据

©著作权归作者所有：来自51CTO博客作者TurboDX的原创作品，请联系作者获取转载授权，否则将追究法律责任

        默认情况下，Apache Pulsar客户端以纯文本与Apache Pulsar服务通信。可以通过配置TLS传输加密,开启TLS要影响传输性能。
		以下是具体配置Pulsar TLS操作和注意事项。(Pulsar 2.4.2版本测试通过)
		一  创建根证书CA
		/data目录下
		$ mkdir my-ca
		$ cd my-ca
		$ wget --no-check-certificate https://raw.githubusercontent.com/apache/pulsar/master/site2/website/static/examples/openssl.cnf
		$ export CA_HOME=$(pwd)
		$ mkdir certs crl newcerts private
		$ chmod 700 private/
		$ touch index.txt
		$ echo 1000 > serial
		生成根证书的私钥,需要录入秘密,记录此密码后边会使用
		$ openssl genrsa -aes256 -out private/ca.key.pem 4096
		生成根证书CA
		$openssl req -config openssl.cnf -key private/ca.key.pem \
         -new -x509 -days 7300 -sha256 -extensions v3_ca \
         -out certs/ca.cert.pem
		1)先录入上边的私钥密码
		2)填写信息,记录录入的信息后边用到
		 Country Name (2 letter code):CN  //国家名
		 State or Province Name:beijing    //省名
		 Locality Name:beijing                   //城市名
		 Organization Name:test               //组织名称
		 Organizational Unit Name:test    //组织单位名称
		 Common Name:  服务器域名或是ip
		 Email Address:邮件
		 $ chmod 444 certs/ca.cert.pem
		 
		 二 生成服务器证书
		 生成服务器证书密钥
		 $ openssl genrsa -out broker.key.pem 2048
		 $ openssl pkcs8 -topk8 -inform PEM -outform PEM \
           -in broker.key.pem -out broker.key-pk8.pem -nocrypt
		  生成服务器证书请求,根据提示填写信息国家等基本信息和CA根证书一一致。
		  Common Name要填写服务器的域名(单Broker可以填写IP)
		 $ openssl req -config openssl.cnf \
           -key broker.key.pem -new -sha256 -out broker.csr.pem			
		 $ openssl ca -config openssl.cnf -extensions server_cert \
           -days 1000 -notext -md sha256 \
           -in broker.csr.pem -out broker.cert.pem
		
		三 Broker配置
		broker.conf文件中
		默认brokerServicePortTls  webServicePortTls为空，不启动TLS通过填写端口号告诉服务器开启TL通道,
		如果相关闭普通通道把brokerServicePort和webServicePort的端口去掉。
		brokerServicePort=6650     
		brokerServicePortTls=6651
		webServicePort=8080
		webServicePortTls=8443
		tlsCertificateFilePath=/data/my-ca/broker.cert.pem
        tlsKeyFilePath=/data/my-ca/broker.key-pk8.pem
        tlsTrustCertsFilePath=/data/my-ca/certs/ca.cert.pem
		注意：官方文档中tlsProtocols tlsCiphers 如果配置了我使用客户端测试时会不通过。此两项不填写测试可以通过。
		
		四 配置完成broker.conf启动Broker查看日志文件提示以下信息说明服务端开启了TLS服务
		 Started PulsarServerConnector@6a2eea2a{SSL,[ssl, http/1.1]}{0.0.0.0:8443}
		 
		五 JAVA客户端测试
		   1)拷出刚才生成的公有证书 /data/my-ca/certs/ca.cert.pem 放到客户端服务上
		   2)java 主要代码,发送或接收数据正常说明配置成功
             PulsarClient client =PulsarClient.builder()
				.serviceUrl(url)
				.tlsTrustCertsFilePath("D:/jar/ca.cert.pem")//客户端服务器上公有证书路径
				.enableTlsHostnameVerification(false) 
                .allowTlsInsecureConnection(false)