本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定用戶端以使用身分驗證 此程序說明如何設定 Amazon EC2 執行個體做為用戶端使用身分驗證。 此程序說明如何透過建立用戶端機器、建立主題,以及設定必要的安全設定,來使用身分驗證產生和取用訊息。 1. 建立用作用戶端機器的 Amazon EC2 執行個體。為求簡化,請在與叢集相同的 VPC 中建立此執行個體。如需如何建立這類用戶端機器的範例,請參閱 [步驟 3:建立用戶端機器](create-client-machine.md)。 1. 建立主題。如需範例,請參閱 [步驟 4:在 Amazon MSK 叢集中建立主題](create-topic.md) 下方的說明。 1. 在 AWS CLI 已安裝 的機器上執行下列命令,以取得叢集的引導代理程式。將 *Cluster-ARN* 取代為您的叢集 ARN。 ``` aws kafka get-bootstrap-brokers --cluster-arn Cluster-ARN ``` 儲存回應中與 `BootstrapBrokerStringTls` 相關聯的字串。 1. 在用戶端機器上,執行下列命令以使用 JVM 信任存放區來建立用戶端信任存放區。如果您的 JVM 路徑不同,請相應地調整命令。 ``` cp /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.201.b09-0.amzn2.x86_64/jre/lib/security/cacerts kafka.client.truststore.jks ``` 1. 在用戶端機器上,執行下列命令以建立用戶端私有金鑰。將 *Distinguished-Name*、*Example-Alias*、*Your-Store-Pass* 和 *Your-Key-Pass* 取代為您選擇的字串。 ``` keytool -genkey -keystore kafka.client.keystore.jks -validity 300 -storepass Your-Store-Pass -keypass Your-Key-Pass -dname "CN=Distinguished-Name" -alias Example-Alias -storetype pkcs12 -keyalg rsa ``` 1. 在用戶端機器上,執行下列命令,以使用您在上一個步驟中建立的私有金鑰來建立憑證要求。 ``` keytool -keystore kafka.client.keystore.jks -certreq -file client-cert-sign-request -alias Example-Alias -storepass Your-Store-Pass -keypass Your-Key-Pass ``` 1. 打開 `client-cert-sign-request` 文件並確保以 `-----BEGIN CERTIFICATE REQUEST-----` 開始和以 `-----END CERTIFICATE REQUEST-----` 結束。如果開頭為 `-----BEGIN NEW CERTIFICATE REQUEST-----`,請從檔案的開頭和結尾刪除單字 `NEW` (以及其後的單一空格)。 1. 在 AWS CLI 已安裝 的電腦上,執行下列命令來簽署您的憑證請求。將 *Private-CA-ARN* 取代為您 PCA 的 ARN。如果想要,您可以變更有效性值。在這裡,我們使用 300 做為範例。 ``` aws acm-pca issue-certificate --certificate-authority-arn Private-CA-ARN --csr fileb://client-cert-sign-request --signing-algorithm "SHA256WITHRSA" --validity Value=300,Type="DAYS" ``` 儲存回應中提供的憑證 ARN。 **注意** 若要擷取用戶端憑證,請使用 `acm-pca get-certificate` 指令並指定憑證 ARN。如需詳細資訊,請參閱 *AWS CLI Command Reference* 中的 [get-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm-pca/get-certificate.html)。 1. 執行下列命令以取得為您 AWS 私有 CA 簽署的憑證。將 *Certificate-ARN* 取代為您從先前命令的回應中取得的 ARN。 ``` aws acm-pca get-certificate --certificate-authority-arn Private-CA-ARN --certificate-arn Certificate-ARN ``` 1. 從執行上一個命令的 JSON 結果中,複製與 `Certificate` 和 `CertificateChain` 相關聯的字串。將這兩個字串貼到名為 signed-certificate-from-acm 的新文件中。首先貼上與 `Certificate` 相關連的字串,接著與 `CertificateChain` 相關聯的字串。將 `\n` 取代為新行字元。以下是您貼上憑證和憑證鏈結之後的檔案結構。 ``` -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- ``` 1. 在用戶端機器上執行以下命令以將此憑證新增到您的金鑰存放區,以便其在與 MSK 代理程式通話時顯示。 ``` keytool -keystore kafka.client.keystore.jks -import -file signed-certificate-from-acm -alias Example-Alias -storepass Your-Store-Pass -keypass Your-Key-Pass ``` 1. 使用下列內容建立名為 `client.properties` 的檔案。將信任庫和密鑰庫位置調整為您儲存 `kafka.client.truststore.jks` 的路徑。使用您的 Kafka 用戶端版本取代 *\$1YOUR KAFKA VERSION\$1* 預留位置。 ``` security.protocol=SSL ssl.truststore.location=/tmp/kafka_2.12-{YOUR KAFKA VERSION}/kafka.client.truststore.jks ssl.keystore.location=/tmp/kafka_2.12-{YOUR KAFKA VERSION}/kafka.client.keystore.jks ssl.keystore.password=Your-Store-Pass ssl.key.password=Your-Key-Pass ```