11.8.2. Kafka 监听程序服务器证书中的其他主题
要将 TLS 主机名验证与您自己的 Kafka 侦听程序证书 一起使用,您必须为每个监听器使用正确的 Subject 备用名称(SAN)。证书 SAN 必须指定主机名:
- 集群中的所有 Kafka 代理
- Kafka 集群 bootstrap 服务
如果您的 CA 支持通配符证书,您可以使用通配符证书。
11.8.2.1. TLS 侦听器 SAN 示例
使用以下示例来帮助您在证书中为 TLS 侦听器指定 SAN 的主机名。
通配符示例
//Kafka brokers *.<cluster-name>-kafka-brokers *.<cluster-name>-kafka-brokers.<namespace>.svc // Bootstrap service <cluster-name>-kafka-bootstrap <cluster-name>-kafka-bootstrap.<namespace>.svc
非通配符示例
// Kafka brokers <cluster-name>-kafka-0.<cluster-name>-kafka-brokers <cluster-name>-kafka-0.<cluster-name>-kafka-brokers.<namespace>.svc <cluster-name>-kafka-1.<cluster-name>-kafka-brokers <cluster-name>-kafka-1.<cluster-name>-kafka-brokers.<namespace>.svc # ... // Bootstrap service <cluster-name>-kafka-bootstrap <cluster-name>-kafka-bootstrap.<namespace>.svc