11.2. Secrets
AMQ Streams 使用 Secret 来存储 Kafka 集群组件和客户端的私钥和证书。secret 用于在 Kafka 代理之间以及代理与客户端之间建立 TLS 加密连接。它们也用于 mutual TLS 身份验证。
- Cluster Secret 包含用于为 Kafka 代理证书签名的集群 CA 证书,供连接的客户端用于与 Kafka 集群建立 TLS 加密连接以验证代理身份。
- Client Secret 包含用户用来签署自己的客户端证书的客户端 CA 证书,以允许对 Kafka 集群进行相互身份验证。代理通过客户端 CA 证书本身验证客户端身份。
- 用户 Secret 包含私钥和证书,在创建新用户时由客户端 CA 证书生成和签名。密钥和证书用于访问集群时的身份验证和授权。
secret 以 PEM 和 PKCS #12 格式提供私钥和证书。使用 PEM 格式的私钥和证书意味着用户必须从 Secret 中获取,并生成对应的信任存储(或密钥存储),以便在其 Java 应用程序中使用。PKCS #12 存储提供了一个可直接使用的信任存储(或密钥存储)。
所有键的大小都是 2048 位。
11.2.1. PKCS #12 存储
PKCS #12 定义了一个归档文件格式(.p12),用于将加密对象存储在单个文件中并设有密码保护。您可以使用 PKCS #12 在一个位置管理证书和密钥。
每个 Secret 都包含特定于 PKCS #12 的字段。
-
.p12字段包含证书和密钥。 -
.password字段是保护存档的密码。
