Siapkan klien untuk menggunakan otentikasi - Amazon Managed Streaming untuk Apache Kafka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan klien untuk menggunakan otentikasi

Proses ini menjelaskan cara menyiapkan EC2 instans Amazon untuk digunakan sebagai klien untuk menggunakan otentikasi.

Proses ini menjelaskan cara menghasilkan dan menggunakan pesan menggunakan otentikasi dengan membuat mesin klien, membuat topik, dan mengonfigurasi pengaturan keamanan yang diperlukan.

  1. Buat EC2 instance Amazon untuk digunakan sebagai mesin klien. Untuk mempermudah, buat instance ini di VPC yang sama yang Anda gunakan untuk cluster. Lihat Langkah 3: Buat mesin klien contoh cara membuat mesin klien seperti itu.

  2. Buat topik. Sebagai contoh, lihat instruksi di bawahLangkah 4: Buat topik di cluster MSK Amazon.

  3. Pada mesin tempat Anda AWS CLI menginstal, jalankan perintah berikut untuk mendapatkan broker bootstrap dari cluster. Ganti Cluster-ARN dengan ARN cluster Anda.

    aws kafka get-bootstrap-brokers --cluster-arn Cluster-ARN

    Simpan string yang terkait BootstrapBrokerStringTls dengan respons.

  4. Pada mesin klien Anda, jalankan perintah berikut untuk menggunakan toko kepercayaan JVM untuk membuat toko kepercayaan klien Anda. Jika jalur JVM Anda berbeda, sesuaikan perintahnya.

    cp /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.201.b09-0.amzn2.x86_64/jre/lib/security/cacerts kafka.client.truststore.jks

  5. Pada mesin klien Anda, jalankan perintah berikut untuk membuat kunci pribadi untuk klien Anda. Ganti Distinguished-NameExample-Alias,Your-Store-Pass,, dan Your-Key-Pass dengan string pilihan Anda.

    keytool -genkey -keystore kafka.client.keystore.jks -validity 300 -storepass Your-Store-Pass -keypass Your-Key-Pass -dname "CN=Distinguished-Name" -alias Example-Alias -storetype pkcs12 -keyalg rsa

  6. Pada mesin klien Anda, jalankan perintah berikut untuk membuat permintaan sertifikat dengan kunci pribadi yang Anda buat pada langkah sebelumnya.

    keytool -keystore kafka.client.keystore.jks -certreq -file client-cert-sign-request -alias Example-Alias -storepass Your-Store-Pass -keypass Your-Key-Pass

  7. Buka client-cert-sign-request file dan pastikan bahwa itu dimulai dengan -----BEGIN CERTIFICATE REQUEST----- dan diakhiri dengan-----END CERTIFICATE REQUEST-----. Jika dimulai dengan-----BEGIN NEW CERTIFICATE REQUEST-----, hapus kata NEW (dan spasi tunggal yang mengikutinya) dari awal dan akhir file.

  8. Pada mesin tempat Anda AWS CLI menginstal, jalankan perintah berikut untuk menandatangani permintaan sertifikat Anda. Ganti Private-CA-ARN dengan ARN PCA Anda. Anda dapat mengubah nilai validitas jika Anda mau. Di sini kita menggunakan 300 sebagai contoh.

    aws acm-pca issue-certificate --certificate-authority-arn Private-CA-ARN --csr fileb://client-cert-sign-request --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS"

    Simpan sertifikat ARN yang disediakan dalam tanggapan.

    catatan

    Untuk mengambil sertifikat klien Anda, gunakan acm-pca get-certificate perintah dan tentukan ARN sertifikat Anda. Untuk informasi selengkapnya, lihat mendapatkan sertifikat di Referensi AWS CLI Perintah.

  9. Jalankan perintah berikut untuk mendapatkan sertifikat yang AWS Private CA ditandatangani untuk Anda. Ganti Certificate-ARN dengan ARN yang Anda peroleh dari respons ke perintah sebelumnya.

    aws acm-pca get-certificate --certificate-authority-arn Private-CA-ARN --certificate-arn Certificate-ARN

  10. Dari hasil JSON menjalankan perintah sebelumnya, salin string yang terkait dengan Certificate dan. CertificateChain Tempel kedua string ini dalam file baru bernama signed-certificate-from-acm. Tempel string yang terkait dengan Certificate pertama, diikuti oleh string yang terkait denganCertificateChain. Ganti \n karakter dengan baris baru. Berikut ini adalah struktur file setelah Anda menempelkan sertifikat dan rantai sertifikat di dalamnya.

    -----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

  11. Jalankan perintah berikut pada mesin klien untuk menambahkan sertifikat ini ke keystore Anda sehingga Anda dapat mempresentasikannya ketika Anda berbicara dengan broker MSK.

    keytool -keystore kafka.client.keystore.jks -import -file signed-certificate-from-acm -alias Example-Alias -storepass Your-Store-Pass -keypass Your-Key-Pass

  12. Buat file bernama client.properties dengan isi berikut ini. Sesuaikan lokasi truststore dan keystore ke jalur tempat Anda menyimpan. kafka.client.truststore.jks Ganti versi klien Kafka Anda dengan {YOUR KAFKA VERSION} placeholder.

    security.protocol=SSL
ssl.truststore.location=/tmp/kafka_2.12-{YOUR KAFKA VERSION}/kafka.client.truststore.jks
ssl.keystore.location=/tmp/kafka_2.12-{YOUR KAFKA VERSION}/kafka.client.keystore.jks
ssl.keystore.password=Your-Store-Pass
ssl.key.password=Your-Key-Pass