本文为博主原创,未经允许不得转载:

  zookeeper 作为注册中心或服务发现协调中心的时候,zookeeper 默认与其他服务通过 http 进行通信。

  zookeeper 与协调服务配置 ssl 双向认证,即 client 端验证 server 端证书,server 端验证 client 端证书,

  

  1. ssl 双向认证过程

                             

  1、客户端向服务器发送连接请求(SSL协议版本号、加密算法种类、随机数等信息)

  2、服务器给客户端返回服务器端的证书,即公钥证书,同时也返回证书相关信息(SSL协议版本号、加密算法种类、随机数等信息)

  3、客户端使用服务端返回的信息验证服务器的合法性(首先检查服务器发送过来的证书是否是由自己信赖的CA中心所签发的,再比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户端认可这个服务端的合法身份),验证通过后,则继续进行通信,否则终止通信,具体验证内容包括:

  a、证书是否过期
       b、发行服务器证书的CA是否可靠
       c、返回的公钥是否能正确解开返回证书中的数字签名
       d、服务器证书上的域名是否和服务器的实际域名相匹配

  4、服务端要求客户端发送客户端的证书,客户端会将自己的证书发送至服务端

  5、验证客户端的证书,通过验证后,会获得客户端的公钥

  6、客户端向服务器发送自己所能支持的对称加密方案,供服务器端进行选择

  7、服务器端在客户端提供的加密方案中选择加密程度最高的加密方式

  8、将加密方式通过使用之前获取到的公钥(客户的公钥)进行加密,返回给客户端

  9、客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后获取该加密方式的随机码,用作加密过程中的密钥,使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端

  10、服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全

  

2. Zookeeper 配置双向认证:

  bin/zkServer.sh 配置:

export SERVER_JVMFLAGS=”

-Dzookeeper.serverCnxnFactory=org.apache.zookeeper.server.NettyServerCnxnFactory

-Dzookeeper.ssl.keyStore.location=/root/zookeeper/ssl/testKeyStore.jks

-Dzookeeper.ssl.keyStore.password=testpass

-Dzookeeper.ssl.trustStore.location=/root/zookeeper/ssl/testTrustStore.jks

-Dzookeeper.ssl.trustStore.password=testpass”

  在 “zoo.cfg”中增加:

secureClientPort=2281

  “bin/zkCli.sh”的配置为:

export CLIENT_JVMFLAGS=”

-Dzookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty

-Dzookeeper.client.secure=true

-Dzookeeper.ssl.keyStore.location=/root/zookeeper/ssl/testKeyStore.jks

-Dzookeeper.ssl.keyStore.password=testpass

-Dzookeeper.ssl.trustStore.location=/root/zookeeper/ssl/testTrustStore.jks

-Dzookeeper.ssl.trustStore.password=testpass”

  

  zookeeper 通过 netty 进行服务通信。通过  -Dzookeeper.clientCnxnSocket=org.apache.zookeeper.ClientCnxnSocketNetty 指定 netty 通信。

  上面是通过在  bin/zkCli.sh 客户端 指定通信的安全访问配置。

  如果是 java 客户端时,可以在 java 服务启动类中添加 以上的 系统环境变量配置,即可配置生效。

  

import org.mybatis.spring.annotation.MapperScan;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication

@MapperScan("com.example.demo.mapper")

public class DemoApplication {

    public static void main(String[] args) {

        System.setProperty("zookeeper.clientCnxnSocket","org.apache.zookeeper.ClientCnxnSocketNetty");

        System.setProperty("zookeeper.client.secure","true");

        System.setProperty("zookeeper.ssl.keyStore.location","/root/zookeeper/ssl/testKeyStore.jks");

        System.setProperty("zookeeper.ssl.keyStore.password","testpass");

        System.setProperty("zookeeper.ssl.trustStore.location","/root/zookeeper/ssl/testTrustStore.jks");

        System.setProperty("zookeeper.ssl.trustStore.password","testpass");

        SpringApplication.run(DemoApplication.class, args);

    }

}

3. zookeeper 客户端认证源码:

  NettyServerCnxnFactory 类中:

  

private synchronized void initSSL(ChannelPipeline p, boolean supportPlaintext) throws X509Exception, KeyManagementException, NoSuchAlgorithmException {

        String authProviderProp = System.getProperty(this.x509Util.getSslAuthProviderProperty());

        SslContext nettySslContext;

        if (authProviderProp == null) {

            SSLContextAndOptions sslContextAndOptions = this.x509Util.getDefaultSSLContextAndOptions();

            nettySslContext = sslContextAndOptions.createNettyJdkSslContext(sslContextAndOptions.getSSLContext(), false);

        } else {

            SSLContext sslContext = SSLContext.getInstance("TLSv1.2");

            X509AuthenticationProvider authProvider = (X509AuthenticationProvider)ProviderRegistry.getProvider(System.getProperty(this.x509Util.getSslAuthProviderProperty(), "x509"));

            if (authProvider == null) {

                LOG.error("Auth provider not found: {}", authProviderProp);

                throw new SSLContextException("Could not create SSLContext with specified auth provider: " + authProviderProp);

            }

            sslContext.init(new X509KeyManager[]{authProvider.getKeyManager()}, new X509TrustManager[]{authProvider.getTrustManager()}, (SecureRandom)null);

            nettySslContext = this.x509Util.getDefaultSSLContextAndOptions().createNettyJdkSslContext(sslContext, false);

        }

        if (supportPlaintext) {

            p.addLast("ssl", new NettyServerCnxnFactory.DualModeSslHandler(nettySslContext));

            LOG.debug("dual mode SSL handler added for channel: {}", p.channel());

        } else {

            p.addLast("ssl", nettySslContext.newHandler(p.channel().alloc()));

            LOG.debug("SSL handler added for channel: {}", p.channel());

        }

    }

  初始化 ssl 通信配置,并加载 X509Util 进行校验:

private synchronized void initSSL(ChannelPipeline pipeline) throws SSLContextException {

            if (this.sslContext == null || this.sslEngine == null) {

                X509Util x509Util = new ClientX509Util();

                Throwable var3 = null;

                try {

                    this.sslContext = x509Util.createSSLContext(ClientCnxnSocketNetty.this.clientConfig);

                    this.sslEngine = this.sslContext.createSSLEngine(this.host, this.port);

                    this.sslEngine.setUseClientMode(true);

                } catch (Throwable var12) {

                    var3 = var12;

                    throw var12;

                } finally {

                    if (x509Util != null) {

                        if (var3 != null) {

                            try {

                                x509Util.close();

                            } catch (Throwable var11) {

                                var3.addSuppressed(var11);

                            }

                        } else {

                            x509Util.close();

                        }

                    }

                }

            }

            pipeline.addLast("ssl", new SslHandler(this.sslEngine));

            ClientCnxnSocketNetty.LOG.info("SSL handler added for channel: {}", pipeline.channel());

        }

Zookeeper 实现 ssl 双向认证的更多相关文章

  1. tomcat配置SSL双向认证

    一.SSL简单介绍 SSL(Secure Sockets Layer 安全套接层)就是一种协议(规范),用于保障客户端和服务器端通信的安全,以免通信时传输的信息被窃取或者修改. 怎样保障数据传输安全? ...

  2. SSL双向认证java实现(转)

    本文通过模拟场景,介绍SSL双向认证的java实现 默认的情况下,我认为读者已经对SSL原理有一定的了解,所以文章中对SSL的原理,不做详细的介绍. 如果有这个需要,那么通过GOOGLE,可以搜索到很 ...

  3. SSL双向认证(高清版)

    介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice. 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下. 由于n ...

  4. Nginx、SSL双向认证、PHP、SOAP、Webservice、https

    本文是1:1模式,N:1模式请参见新的一篇博客<SSL双向认证(高清版)> ----------------------------------------------------- 我是 ...

  5. apache用户认证,ssl双向认证配置

    安装环境: OS:contos 6.4 httpd:httpd-2.2.15-59.el6.centos.i686.rpm openssl:openssl-1.0.1e-57.el6.i686.rpm ...

  6. ssl双向认证

    ssl双向认证 一.背景知识 1.名词解释 ca.key: 根证书的私钥 , ca.crt: 根证书的签名证书 server.key, server.crt client.key, client.cr ...

  7. SSL双向认证和SSL单向认证的流程和区别

    refs: SSL双向认证和SSL单向认证的区别https://www.jianshu.com/p/fb5fe0165ef2 图解 https 单向认证和双向认证!https://cloud.tenc ...

  8. php实现https(tls/ssl)双向认证

    php实现https(tls/ssl)双向认证 通常情况下,在部署https的时候,是基于ssl单向认证的,也就是说只要客户端认证服务器,而服务器不需要认证客户端. 但在一些安全性较高的场景,如银行, ...

  9. nginx支持ssl双向认证配置

    nginx支持ssl双向认证配置 listen 443; server_name test.com; ssl on; ssl_certificate server.crt; //server端公钥 s ...

  10. php使用curl库进行ssl双向认证

    官方文档: http://www.php.net/manual/zh/function.curl-setopt.php#10692 官方举例: <?phpcurl_setopt($ch, CUR ...

随机推荐

  1. 若依vue启动报Error: error:0308010C:digital envelope routines::unsupported

    解决:若依vue启动报Error: error:0308010C:digital envelope routines::unsupported 1.描述: 问题产生原因是因为 node.js V17版 ...

  2. 如何清理Docker不用的Volume

    有一句老话叫:书到用时方恨少. 其实电脑的内存空间也是非常宝贵,特别是MacOS下的docker可以分配的空间更是寸土寸金. 在21年的时候我也遇到过类似的问题,当时的经历记录在这篇博客:https: ...

  3. STM32CubeMX教程3 GPIO输入 - 按键响应

    1.准备材料 开发板(STM32F407G-DISC1) ST-LINK/V2驱动 STM32CubeMX软件(Version 6.10.0) keil µVision5 IDE(MDK-Arm) 2 ...

  4. 踩坑ffmpeg录制的mp4无法在浏览器上播放

    前言 使用ffmpeg编译好的程序在电脑上进行音视频转换,可以参考这篇:<windows电脑FFmpeg安装教程手把手详解_windows安装ffmpeg>,而我们要做的是在游戏引擎中集成 ...

  5. Shiro 的基本使用

    简介 Apache Shiro 是一个强大的.灵活的开源安全框架,可以干净地处理验证.授权.企业会话管理和加密等功能 相关特性 Apache Shiro 具有的主要特性如下图所示: 主要关注的地方在于 ...

  6. flutter MaterialApp介绍

    MaterialApp 是 Flutter 中常用的一个 widget,它是构建基于 Material Design 风格应用的根组件,主要负责各种全局状态的管理以及定义应用程序的主题样式等. voi ...

  7. 小熊派开发实践丨漫谈LiteOS之传感器移植

    摘要:本文基于小熊派开发板简单介绍了如何在LiteOS中移植传感器,从而实现对于传感器的相关控制. 1 hello world 相信大家无论在学习编程语言开始的第一个函数应该是HelloWorld,本 ...

  8. 谁说AI看不懂视频?

    摘要:人工智能在视觉领域发展趋于成熟,基于人工智能的视频内容分析能从根本上解决传统内容分析方法性能低下的问题,视频分析开启2.0智能时代. 视频数据量激增,数据处理和内容运营成本居高不下 云计算.大数 ...

  9. 划重点丨详解Java流程控制语句知识点

    摘要:流程控制语句就是用来控制程序中各语句执行的顺序,下面将详细介绍java流程控制语句. 流程控制语句就是用来控制程序中各语句执行的顺序,下面将详细介绍java流程控制语句. Q: break后面加 ...

  10. 解读分布式调度平台Airflow在华为云MRS中的实践

    摘要:Airflow是一个使用Python语言编写的分布式调度平台,通过DAG(Directed acyclic graph 有向无环图)来管理任务. 本文分享自华为云社区<分布式调度平台Air ...