Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

10.6. 配置外部客户端以信任集群 CA

此流程描述了如何配置位于 OpenShift 集群外的 Kafka 客户端 - 连接到外部 监听程序 - 以信任集群 CA 证书。当旧的客户端 CA 证书被替换时,在设置客户端和续订期间,请按照以下步骤操作。

按照以下步骤为基于 Java 的 Kafka Producer、消费者和流 API 配置集群 CA 签名的信任证书。

根据集群 CA 的证书格式选择以下步骤: PKCS #12 (.p12)或 PEM (.crt)。

步骤描述了如何从 Cluster Secret 获取证书,以验证 Kafka 集群的身份。

重要

在 CA 证书续订期间,<cluster-name> -cluster-ca-cert Secret 将包含多个 CA 证书。客户端必须 将它们添加到 其信任存储中。

先决条件

  • Cluster Operator 必须正在运行。
  • 需要在 OpenShift 集群中有一个 Kafka 资源。
  • 您需要在 OpenShift 集群外使用 TLS 连接的 Kafka 客户端应用程序,并需要信任集群 CA 证书。

使用 PKCS #12 格式(.p12)

  1. 从 Kafka 集群的 CLUSTER-NAME-cluster-ca-cert Secret 中提取集群 CA 证书和密码。 

    oc get secret CLUSTER-NAME-cluster-ca-cert -o jsonpath='{.data.ca\.p12}' | base64 -d > ca.p12
    Copy to Clipboard Toggle word wrap 
    oc get secret CLUSTER-NAME-cluster-ca-cert -o jsonpath='{.data.ca\.password}' | base64 -d > ca.password
    Copy to Clipboard Toggle word wrap

    CLUSTER-NAME 替换为 Kafka 集群的名称。

  2. 使用以下属性配置 Kafka 客户端:

    • 安全协议选项:

      • security.protocol:在使用 TLS 加密时(使用或没有 TLS 身份验证)时的 SSL
      • security.protocol: SASL_SSL 在通过 TLS 使用 SCRAM-SHA 验证时。
    • SSL.truststore.location,使用导入证书的 truststore 位置。
    • SSL.truststore.password,密码为,用于访问信任存储。如果 truststore 不需要,可以省略此属性。
    • SSL.truststore.type=PKCS12 来识别信任存储类型。

使用 PEM 格式(.crt)

  1. 从 Kafka 集群的 CLUSTER-NAME-cluster-ca-cert Secret 中提取集群 CA 证书。 

    oc get secret CLUSTER-NAME-cluster-ca-cert -o jsonpath='{.data.ca\.crt}' | base64 -d > ca.crt
    Copy to Clipboard Toggle word wrap
  2. 将证书与使用 X.509 格式的证书的客户端一起使用。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat