0

我安装了带有 TLS 侦听器的 Kafka 集群的 Strimzi Kafka(在 OpenShift 中,如果重要的话)。当我添加一个KafkaUser我请求 TLS 身份验证时:

spec:
  authentication:
    type: tls
  authorization:
    type: simple

然后我提取由 Strimzi 用户的密钥库创建的,并在我从客户端代码连接到 Kafka 引导服务器时提供它。

问题:添加时如何提供自定义 SSL 证书KafkaUser,或者有没有办法用自定义证书替换自动生成的 SSL 用户证书(例如延长有效期)?特别是,将用户证书添加到哪个密钥的信任库?或者这是一个不好的做法,我应该坚持自动生成?

4

1 回答 1

0

要针对集群进行身份验证,您必须使用由受信任的 CA 签名的证书。因此,您无法提供随机证书并使用它。因此,如果您想使用用户操作员,您必须使用代理信任的 CA,并且用户操作员从中生成用户证书。您可以使用生成的 Strimzi CA 或提供您自己的 CA。或者,如果您愿意,您还可以提供自己的受信任证书并以任何您想要的方式颁发您的用户证书,而根本不使用 User 运算符和 KafkaUser 资源。

于 2021-03-17T22:50:40.440 回答