Zookeeper 实现 ssl 双向认证

本文为博主原创，未经允许不得转载:

　　zookeeper 作为注册中心或服务发现协调中心的时候，zookeeper 默认与其他服务通过 http 进行通信。

　　zookeeper 与协调服务配置 ssl 双向认证，即 client 端验证 server 端证书，server 端验证 client 端证书，

　　

　　1. ssl 双向认证过程

　                            

　　1、客户端向服务器发送连接请求（SSL协议版本号、加密算法种类、随机数等信息）

　　2、服务器给客户端返回服务器端的证书，即公钥证书，同时也返回证书相关信息（SSL协议版本号、加密算法种类、随机数等信息）

　　3、客户端使用服务端返回的信息验证服务器的合法性（首先检查服务器发送过来的证书是否是由自己信赖的CA中心所签发的，再比较证书里的消息，例如域名和公钥，与服务器刚刚发送的相关消息是否一致，如果是一致的，客户端认可这个服务端的合法身份），验证通过后，则继续进行通信，否则终止通信，具体验证内容包括:

　　a、证书是否过期
     　　b、发行服务器证书的CA是否可靠
     　　c、返回的公钥是否能正确解开返回证书中的数字签名
     　　d、服务器证书上的域名是否和服务器的实际域名相匹配

　　4、服务端要求客户端发送客户端的证书，客户端会将自己的证书发送至服务端

　　5、验证客户端的证书，通过验证后，会获得客户端的公钥

　　6、客户端向服务器发送自己所能支持的对称加密方案，供服务器端进行选择

　　7、服务器端在客户端提供的加密方案中选择加密程度最高的加密方式

　　8、将加密方式通过使用之前获取到的公钥（客户的公钥）进行加密，返回给客户端

　　9、客户端收到服务端返回的加密方案密文后，使用自己的私钥进行解密，获取具体加密方式，而后获取该加密方式的随机码，用作加密过程中的密钥，使用之前从服务端证书中获取到的公钥进行加密后，发送给服务端

　　10、服务端收到客户端发送的消息后，使用自己的私钥进行解密，获取对称加密的密钥，在接下来的会话中，服务器和客户端将会使用该密码进行对称加密，保证通信过程中信息的安全

　　

2. Zookeeper 配置双向认证：

　　bin/zkServer.sh 配置：

export SERVER_JVMFLAGS=”
-Dzookeeper.serverCnxnFactory=org.apache.zookeeper.server.NettyServerCnxnFactory
-Dzookeeper.ssl.keyStore.location=/root/zookeeper/ssl/testKeyStore.jks
-Dzookeeper.ssl.keyStore.password=testpass
-Dzookeeper.ssl.trustStore.location=/root/zookeeper/ssl/testTrustStore.jks
-Dzookeeper.ssl.trustStore.password=testpass”

　　在 “zoo.cfg”中增加：

secureClientPort=2281

　　“bin/zkCli.sh”的配置为:

export CLIENT_JVMFLAGS=”
-Dzookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty
-Dzookeeper.client.secure=true
-Dzookeeper.ssl.keyStore.location=/root/zookeeper/ssl/testKeyStore.jks
-Dzookeeper.ssl.keyStore.password=testpass
-Dzookeeper.ssl.trustStore.location=/root/zookeeper/ssl/testTrustStore.jks
-Dzookeeper.ssl.trustStore.password=testpass”

　　

　　zookeeper 通过 netty 进行服务通信。通过  -Dzookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty 指定 netty 通信。

　　上面是通过在  bin/zkCli.sh 客户端 指定通信的安全访问配置。

　　如果是 java 客户端时，可以在 java 服务启动类中添加 以上的 系统环境变量配置，即可配置生效。

　　

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
@MapperScan("com.example.demo.mapper")
public class DemoApplication {

    public static void main(String[] args) {
        System.setProperty("zookeeper.clientCnxnSocket","org.apache.zookeeper.ClientCnxnSocketNetty");
        System.setProperty("zookeeper.client.secure","true");
        System.setProperty("zookeeper.ssl.keyStore.location","/root/zookeeper/ssl/testKeyStore.jks");
        System.setProperty("zookeeper.ssl.keyStore.password","testpass");
        System.setProperty("zookeeper.ssl.trustStore.location","/root/zookeeper/ssl/testTrustStore.jks");
        System.setProperty("zookeeper.ssl.trustStore.password","testpass");

        SpringApplication.run(DemoApplication.class, args);
    }
}

3. zookeeper 客户端认证源码：

　　NettyServerCnxnFactory 类中：

　　

private synchronized void initSSL(ChannelPipeline p, boolean supportPlaintext) throws X509Exception, KeyManagementException, NoSuchAlgorithmException {
        String authProviderProp = System.getProperty(this.x509Util.getSslAuthProviderProperty());
        SslContext nettySslContext;
        if (authProviderProp == null) {
            SSLContextAndOptions sslContextAndOptions = this.x509Util.getDefaultSSLContextAndOptions();
            nettySslContext = sslContextAndOptions.createNettyJdkSslContext(sslContextAndOptions.getSSLContext(), false);
        } else {
            SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
            X509AuthenticationProvider authProvider = (X509AuthenticationProvider)ProviderRegistry.getProvider(System.getProperty(this.x509Util.getSslAuthProviderProperty(), "x509"));
            if (authProvider == null) {
                LOG.error("Auth provider not found: {}", authProviderProp);
                throw new SSLContextException("Could not create SSLContext with specified auth provider: " + authProviderProp);
            }

            sslContext.init(new X509KeyManager[]{authProvider.getKeyManager()}, new X509TrustManager[]{authProvider.getTrustManager()}, (SecureRandom)null);
            nettySslContext = this.x509Util.getDefaultSSLContextAndOptions().createNettyJdkSslContext(sslContext, false);
        }

        if (supportPlaintext) {
            p.addLast("ssl", new NettyServerCnxnFactory.DualModeSslHandler(nettySslContext));
            LOG.debug("dual mode SSL handler added for channel: {}", p.channel());
        } else {
            p.addLast("ssl", nettySslContext.newHandler(p.channel().alloc()));
            LOG.debug("SSL handler added for channel: {}", p.channel());
        }

    }

　　初始化 ssl 通信配置，并加载 X509Util 进行校验：

private synchronized void initSSL(ChannelPipeline pipeline) throws SSLContextException {
            if (this.sslContext == null || this.sslEngine == null) {
                X509Util x509Util = new ClientX509Util();
                Throwable var3 = null;

                try {
                    this.sslContext = x509Util.createSSLContext(ClientCnxnSocketNetty.this.clientConfig);
                    this.sslEngine = this.sslContext.createSSLEngine(this.host, this.port);
                    this.sslEngine.setUseClientMode(true);
                } catch (Throwable var12) {
                    var3 = var12;
                    throw var12;
                } finally {
                    if (x509Util != null) {
                        if (var3 != null) {
                            try {
                                x509Util.close();
                            } catch (Throwable var11) {
                                var3.addSuppressed(var11);
                            }
                        } else {
                            x509Util.close();
                        }
                    }

                }
            }

            pipeline.addLast("ssl", new SslHandler(this.sslEngine));
            ClientCnxnSocketNetty.LOG.info("SSL handler added for channel: {}", pipeline.channel());
        }