为客户端接入点配置 TLS 加密
下载
聚焦模式
字号
TDMQ Pulsar 支持 TLS 加密功能,可为集群绑定 SSL 证书,并支持单向认证和双向认证模式。开启接入点加密后,系统将使用 SSL 证书在客户端与服务端之间加密传输数据,防止数据在传输过程中被截取或窃听,确保数据传输安全,满足敏感业务需求。
单向认证
单向认证是指客户端对服务端进行认证,认证过程通过验证服务端证书完成。服务端会使用您配置的证书与客户端建立连接。您需要自行购买或签发服务器证书,并将其托管至 SSL 证书 平台,然后在 Pulsar 控制台完成相关配置。
双向认证
双向认证指客户端与服务端之间相互认证。Pulsar 通过服务端证书和客户端 CA 证书完成服务端和客户端的认证,以保证客户端和服务端通信链路的安全及可靠。
客户端对服务端的认证通过服务端证书完成。
服务端对客户端的认证通过 CA 证书完成。客户端发起连接请求时,会将设备证书传递到服务端,服务端将根据客户端提前注册的 CA 证书验证该设备证书的正确性,验证通过则允许客户端连接服务端。
约束与限制
仅专业版集群支持 TLS 加密功能。
已创建 VPC 加密网络接入点后,无法直接删除 TLS 证书。需先删除 VPC 加密网络,再删除证书。
证书添加过程中,集群状态显示为"变配中",此时不可进行其他变配操作。添加完成后,集群状态将恢复正常。
受 Pulsar 底层限制,每个集群仅能添加一个服务端证书(单向认证)或一对服务端证书和 CA 证书(双向认证)。
配置 TLS 加密
前提条件
步骤1:添加 SSL 证书
1. 登录 TDMQ Pulsar 控制台。
2. 在左侧导航栏选择集群管理,选择好地域后,单击目标集群的 ID,进入集群详情页面。
3. 在集群详情页面,选择 TLS 证书管理页签,单击右上角的添加证书。
4. 在弹窗中配置认证方式和证书信息。
参数 | 说明 |
认证方式 | 支持单向认证和双向认证两种方式。 单向认证:由客户端认证服务端。 双向认证:客户端与服务端相互认证。 |
证书来源 | 支持自定义上传或腾讯云托管的 SSL 证书。 说明: 如果您是第一次使用 Pulsar TLS 加密功能,需要单击授权 Pulsar 服务可以下载并应用 SSL 证书能力。 |
服务端证书 | 当认证方式为单向/双向时,均需要下拉选择“已颁发”的服务端证书,用于完成客户端对服务端的认证。 |
CA 证书 | 当认证方式为双向认证时,需要在下拉菜单中选择 CA 证书,用于完成服务端对客户端的认证。 |
5. 单击提交,等待1 - 3分钟后,集群将完成 SSL 证书添加(绑定)。
步骤2:创建 VPC 加密网络接入点
1. 登录 TDMQ Pulsar 控制台。
2. 在左侧导航栏选择集群管理,选择好地域后,单击目标集群的 ID,进入集群详情页面。
3. 在集群详情页面,选择接入点页签,单击左上角的新建。
4. 选择路由类型为 VPC 加密网络,指定已添加单向/双向的服务端证书,并可选配置自定义域名以便于访问管理。
5. 单击确认,等待1分钟后,集群将完成VPC加密网络接入点的创建。
步骤3:使用加密的接入点收发消息
完成 TLS 加密配置后,您可以在客户端中使用 VPC 加密接入点(端口为8080)连接集群并收发消息。
删除 VPC 加密网络接入点
当您不再需要使用 TLS 加密能力时,可以在控制台删除 VPC 加密网络接入点。
1. 登录 TDMQ Pulsar 控制台。
2. 在左侧导航栏选择集群管理,选择好地域后,单击目标集群的 ID,进入集群基本信息页面。
3. 在基本信息页面,选择接入点页签,单击目标接入点操作栏的删除。
4. 在弹窗中单击确定,完成删除。
删除证书
如果已经创建了任意一个 VPC 加密网络接入点,则证书无法被删除,需要先将 VPC 加密网络接入点删除。
1. 登录 TDMQ Pulsar 控制台。
2. 在左侧导航栏选择集群管理,选择好地域后,单击目标集群的 ID,进入集群基本信息页面。
3. 在基本信息页面,选择TLS 证书管理页签,单击目标证书操作栏的删除。
4. 在弹窗中单击确认,集群状态将变为“变配中”,等待1 - 3分钟后,集群将删除 SSL 证书。
文档反馈