[英]Is it possible to disable SSL certificate verification in Apache Kafka Java client?
如果我有一個自簽名證書,作為一個好公民,我會將它導入我的密鑰庫並使用“ssl.truststore.location”和“ssl.truststore.type”配置 Kafka 客戶端以便使用它。
如果期望證書主題的通用名稱可能與提供它的主機地址不同,我可以使用“ssl.endpoint.identification.algorithm”關閉端點驗證。
如果我想完全跳過 SSL 驗證,而不僅僅是主機名,這樣我就不再需要復制證書怎么辦? 類似於 curl 中的“-k”或“--insecure”設置。 我可以使用 Kafka 的默認 Java 客戶端嗎?
有一種方法可以實現它,但它並不是那么簡單。
這個想法是實現接口 org.apache.kafka.common.security.auth.SslEngineFactory 將忽略證書驗證。 當您將其用作客戶端時,只需以類似於以下方式實現 createClientSslEngine 方法就足夠了:
import org.apache.kafka.common.security.auth.SslEngineFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLEngine;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
import java.io.IOException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.NoSuchAlgorithmException;
import java.security.cert.X509Certificate;
import java.util.Map;
import java.util.Set;
public static class MySslEngineFactory implements SslEngineFactory {
@Override
public SSLEngine createClientSslEngine(String peerHost, int peerPort, String endpointIdentification) {
try {
TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {
public X509Certificate[] getAcceptedIssuers() { return null; }
public void checkClientTrusted(X509Certificate[] certs, String authType) { }
public void checkServerTrusted(X509Certificate[] certs, String authType) { }
}};
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, trustAllCerts, new java.security.SecureRandom());
SSLEngine sslEngine = sc.createSSLEngine(peerHost, peerPort);
sslEngine.setUseClientMode(true);
return sslEngine;
} catch (NoSuchAlgorithmException | KeyManagementException e) {
throw new RuntimeException(e);
}
}
@Override
public SSLEngine createServerSslEngine(String peerHost, int peerPort) {
return null;
}
@Override
public boolean shouldBeRebuilt(Map<String, Object> nextConfigs) {
return false;
}
@Override
public Set<String> reconfigurableConfigs() {
return null;
}
@Override
public KeyStore keystore() {
return null;
}
@Override
public KeyStore truststore() {
return null;
}
@Override
public void close() throws IOException {
}
@Override
public void configure(Map<String, ?> configs) {
}
}
完成此類后,您只需在 kafka(生產者或消費者)屬性中將其配置為 SSL_ENGINE_FACTORY_CLASS:
props.put(SslConfigs.SSL_ENGINE_FACTORY_CLASS, MySslEngineFactory.class);
或者如果您不想使用常量:
props.put("ssl.engine.factory.class", MySslEngineFactory.class);
確保您不在生產中使用此設置!
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.