Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Siapkan klien untuk menggunakan otentikasi Proses ini menjelaskan cara menyiapkan instans Amazon EC2 untuk digunakan sebagai klien untuk menggunakan otentikasi. Proses ini menjelaskan cara menghasilkan dan menggunakan pesan menggunakan otentikasi dengan membuat mesin klien, membuat topik, dan mengonfigurasi pengaturan keamanan yang diperlukan. 1. Buat instans Amazon EC2 untuk digunakan sebagai mesin klien. Untuk mempermudah, buat instance ini di VPC yang sama yang Anda gunakan untuk cluster. Lihat [Langkah 3: Buat mesin klien](create-client-machine.md) contoh cara membuat mesin klien seperti itu. 1. Buat topik. Sebagai contoh, lihat instruksi di bawah[Langkah 4: Buat topik di cluster MSK Amazon](create-topic.md). 1. Pada mesin tempat Anda AWS CLI menginstal, jalankan perintah berikut untuk mendapatkan broker bootstrap dari cluster. Ganti *Cluster-ARN* dengan ARN cluster Anda. ``` aws kafka get-bootstrap-brokers --cluster-arn Cluster-ARN ``` Simpan string yang terkait `BootstrapBrokerStringTls` dengan respons. 1. Pada mesin klien Anda, jalankan perintah berikut untuk menggunakan toko kepercayaan JVM untuk membuat toko kepercayaan klien Anda. Jika jalur JVM Anda berbeda, sesuaikan perintahnya. ``` cp /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.201.b09-0.amzn2.x86_64/jre/lib/security/cacerts kafka.client.truststore.jks ``` 1. Pada mesin klien Anda, jalankan perintah berikut untuk membuat kunci pribadi untuk klien Anda. Ganti *Distinguished-Name**Example-Alias*,*Your-Store-Pass*,, dan *Your-Key-Pass* dengan string pilihan Anda. ``` keytool -genkey -keystore kafka.client.keystore.jks -validity 300 -storepass Your-Store-Pass -keypass Your-Key-Pass -dname "CN=Distinguished-Name" -alias Example-Alias -storetype pkcs12 -keyalg rsa ``` 1. Pada mesin klien Anda, jalankan perintah berikut untuk membuat permintaan sertifikat dengan kunci pribadi yang Anda buat pada langkah sebelumnya. ``` keytool -keystore kafka.client.keystore.jks -certreq -file client-cert-sign-request -alias Example-Alias -storepass Your-Store-Pass -keypass Your-Key-Pass ``` 1. Buka `client-cert-sign-request` file dan pastikan bahwa itu dimulai dengan `-----BEGIN CERTIFICATE REQUEST-----` dan diakhiri dengan`-----END CERTIFICATE REQUEST-----`. Jika dimulai dengan`-----BEGIN NEW CERTIFICATE REQUEST-----`, hapus kata `NEW` (dan spasi tunggal yang mengikutinya) dari awal dan akhir file. 1. Pada mesin tempat Anda AWS CLI menginstal, jalankan perintah berikut untuk menandatangani permintaan sertifikat Anda. Ganti *Private-CA-ARN* dengan ARN PCA Anda. Anda dapat mengubah nilai validitas jika Anda mau. Di sini kita menggunakan 300 sebagai contoh. ``` aws acm-pca issue-certificate --certificate-authority-arn Private-CA-ARN --csr fileb://client-cert-sign-request --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" ``` Simpan sertifikat ARN yang disediakan dalam tanggapan. **catatan** Untuk mengambil sertifikat klien Anda, gunakan `acm-pca get-certificate` perintah dan tentukan ARN sertifikat Anda. Untuk informasi selengkapnya, lihat [mendapatkan sertifikat di Referensi AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/get-certificate.html) *Perintah*. 1. Jalankan perintah berikut untuk mendapatkan sertifikat yang AWS Private CA ditandatangani untuk Anda. Ganti *Certificate-ARN* dengan ARN yang Anda peroleh dari respons ke perintah sebelumnya. ``` aws acm-pca get-certificate --certificate-authority-arn Private-CA-ARN --certificate-arn Certificate-ARN ``` 1. Dari hasil JSON menjalankan perintah sebelumnya, salin string yang terkait dengan `Certificate` dan. `CertificateChain` Tempel kedua string ini dalam file baru bernama signed-certificate-from-acm. Tempel string yang terkait dengan `Certificate` pertama, diikuti oleh string yang terkait dengan`CertificateChain`. Ganti `\n` karakter dengan baris baru. Berikut ini adalah struktur file setelah Anda menempelkan sertifikat dan rantai sertifikat di dalamnya. ``` -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- ``` 1. Jalankan perintah berikut pada mesin klien untuk menambahkan sertifikat ini ke keystore Anda sehingga Anda dapat mempresentasikannya ketika Anda berbicara dengan broker MSK. ``` keytool -keystore kafka.client.keystore.jks -import -file signed-certificate-from-acm -alias Example-Alias -storepass Your-Store-Pass -keypass Your-Key-Pass ``` 1. Buat file bernama `client.properties` dengan isi berikut ini. Sesuaikan lokasi truststore dan keystore ke jalur tempat Anda menyimpan. `kafka.client.truststore.jks` Ganti versi klien Kafka Anda dengan *\$1YOUR KAFKA VERSION\$1* placeholder. ``` security.protocol=SSL ssl.truststore.location=/tmp/kafka_2.12-{YOUR KAFKA VERSION}/kafka.client.truststore.jks ssl.keystore.location=/tmp/kafka_2.12-{YOUR KAFKA VERSION}/kafka.client.keystore.jks ssl.keystore.password=Your-Store-Pass ssl.key.password=Your-Key-Pass ```