0

我已经安装了 Strimzi Kafka 并创建了启用 TLS 的集群,如下所示:

    listeners:
      plain: {}
      tls:
        authentication:
          type: tls

自动创建的 Kafka 集群 CA 证书如下所示:

Entry type: trustedCertEntry                                                                                                                                                                                                                                                                                                                                                                                                          
Owner: CN=cluster-ca v0, O=io.strimzi                                                                                                                                                                              
Issuer: CN=cluster-ca v0, O=io.strimzi                                                                                                                                                                             
Serial number: def376173b64bf84                                                                                                                                                                                    
Valid from: Tue Jan 26 23:25:07 MSK 2021 until: Wed Jan 26 23:25:07 MSK 2022                                                                                                                                       
Certificate fingerprints:                                                                                                                                                                                                   
SHA1: 4D:AA:27:0F:84:61:88:D0:B8:1C:CB:9A:DD:5F:D3:E8:3D:52:B4:65

问题是:一年过去了我该怎么办(因为证书自动创建了 1 年)。我对客户端(生产者/消费者)使用 TLS 身份验证——因此我将此证书添加到客户端的 SSL 信任库。一年过去了,我应该在客户端上需要什么?我猜想用新的集群 CA 证书更新信任库?

4

1 回答 1

0

Strimzi 将自动更新 CA。您可以更新您的信任库并继续使用您的集群。如果您愿意,您还可以为侦听器提供自己的证书: https ://strimzi.io/docs/operators/latest/full/using.html#kafka-listener-certificates-str或您自己的 CA:https:// /strimzi.io/docs/operators/latest/full/using.html#installing-your-own-ca-certificates-str

于 2021-03-17T22:45:44.327 回答