在Kafka Strimzi中使用我信任的证书

Question

我已经使用Strimzi在Kubernetes上配置了一个Kafka集群。使用本文- https://itnext.io/kafka-on-kubernetes-the-strimzi-way-part-2-43192f1dd831，但我公司的安全服务不希望使用自签名证书在UAT中部署此解决方案。您能告诉我，我可以将我们的信任证书从一个可信的冲浪中心导入到这个Kafka解决方案中吗？

我将此部分添加到我的yml文件中，引用密钥配置: brokerCertChainAndKey: secretName: es-kafka- https://strimzi.io/docs/operators/master/using.html#kafka-listener-certificates-str证书: certificate.crt密钥: certificate.key

但是当我测试的时候我出错了

[thrd:ssl://104.42.195.73:9094/bootstrap]: ssl://104.42.195.73:9094/bootstrap: SSL handshake failed: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed: broker certificate could not be verified, verify that ssl.ca.location is correctly configured or root CA certificates are installed (install ca-certificates package) (after 377ms in state CONNECT)
panic: interface conversion: kafka.Event is kafka.Error, not *kafka.Message

goroutine 38 [running]:
main.main.func2(0xc421004060)
        /root/kafka-kubernetes-strimzi/part-3/go-client-app/kafka-tls-auth-client.go:85 +0x2a5
created by main.main
        /root/kafka-kubernetes-strimzi/part-3/go-client-app/kafka-tls-auth-client.go:74 +0x109

添加证书后如何检查连接？

你能帮帮我吗？谢谢。

Answer 1

如Strimzi文档中所述，您有两个选项可供选择：

1. 您可以为群集或客户端证书颁发机构提供自己的CA。有关更多详细信息，请参阅https://strimzi.io/docs/operators/latest/full/using.html#installing-your-own-ca-certificates-str
2. You可以让Strimzi将其自签名CA用于ZooKeeper、Kafka复制等，只需为客户端将连接的Kafka侦听器配置自己的服务器证书即可。有关更多详细信息，请参阅https://strimzi.io/docs/operators/latest/full/using.html#kafka-listener-certificates-str

配置它后，您可以检查它是否正确应用，例如使用OpenSSL (openssl s_client ...)。或者，您可以使用Java客户端，并将Java系统属性javax.net.debug设置为值ssl -这也将打印有关TLS握手、使用的证书等的详细信息。