0

我已经使用 Strimzi 在 Kubernetes 上配置了一个 Kafka 集群。使用这篇文章 - https://itnext.io/kafka-on-kubernetes-the-strimzi-way-part-2-43192f1dd831 但是我公司的安全服务不想在 UAT 中部署这个具有自签名的解决方案证书。您能否告诉我,我可以将我们的信任证书从受信任的冲浪中心导入到这个 Kafka 解决方案中吗?

我在我的 yml 文件中添加此部分,请参阅https://strimzi.io/docs/operators/master/using.html#kafka-listener-certificates-str 配置:brokerCertChainAndKey:secretName:es-kafka-secret 证书:certificate.crt密钥:证书.key

但是当我测试时我有错误


[thrd:ssl://104.42.195.73:9094/bootstrap]: ssl://104.42.195.73:9094/bootstrap: SSL handshake failed: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed: broker certificate could not be verified, verify that ssl.ca.location is correctly configured or root CA certificates are installed (install ca-certificates package) (after 377ms in state CONNECT)
panic: interface conversion: kafka.Event is kafka.Error, not *kafka.Message

goroutine 38 [running]:
main.main.func2(0xc421004060)
        /root/kafka-kubernetes-strimzi/part-3/go-client-app/kafka-tls-auth-client.go:85 +0x2a5
created by main.main
        /root/kafka-kubernetes-strimzi/part-3/go-client-app/kafka-tls-auth-client.go:74 +0x109

添加证书后如何检查连接?

请你帮助我好吗?谢谢。

4

1 回答 1

0

如 Strimzi 文档中所述 - 您有两个选项可供选择:

  1. 您可以为集群或客户端证书颁发机构提供自己的 CA。有关更多详细信息,请参阅https://strimzi.io/docs/operators/latest/full/using.html#installing-your-own-ca-certificates-str
  2. 您可以让 Strimzi 将其自签名 CA 用于 ZooKeeper、Kafka 复制等,并且只需为客户端将连接的 Kafka 侦听器配置您自己的服务器证书。有关更多详细信息,请参阅https://strimzi.io/docs/operators/latest/full/using.html#kafka-listener-certificates-str

配置后,您可以检查它是否正确应用,例如使用 OpenSSL ( openssl s_client ...)。或者您可以使用 Java 客户端并将 Java 系统属性设置javax.net.debug为 value ssl- 这还将打印有关 TLS 握手、使用的证书等的详细信息。

于 2021-04-14T20:49:26.500 回答