23.6. 在升级 AMQ Streams 时切换到 FIPS 模式

流程

1. 将 Cluster Operator 升级到 2.4 或更高版本，但将 FIPS_MODE 环境变量设置为 disabled。

2. 如果您最初部署了一个早于 2.3 的 AMQ Streams 版本，则可能会在其 PKCS #12 存储中使用旧的加密和摘要算法，该算法在启用了 FIPS 的情况下不被支持。要使用更新的算法重新创建证书，请更新集群和客户端 CA 证书。

   1. 要续订 Cluster Operator 生成的 CA，请在 CA secret 中添加 force-renew 注解来触发续订。
   2. 要续订您自己的 CA，请将新证书添加到 CA 机密，并使用更高的增量值更新 ca-cert-generation 注解，以捕获更新。

3. 如果您使用 SCRAM-SHA-512 验证，请检查用户的密码长度。如果它们长度少于 32 个字符，请使用以下方法之一生成新密码：

   1. 删除用户 secret，以便 User Operator 生成一个新密码有足够长度的新密码。
   2. 如果您使用 KafkaUser 自定义资源的 .spec.authentication.password 属性提供密码，请更新同一密码配置中引用的 OpenShift secret 中的密码。不要忘记更新您的客户端以使用新密码。
4. 确保 CA 证书使用正确的算法，并且 SCRAM-SHA-512 密码足够长度。然后您可以启用 FIPS 模式。
5. 从 Cluster Operator 部署中删除 FIPS_MODE 环境变量。这会重启 Cluster Operator，并滚动所有操作对象来启用 FIPS 模式。重启完成后，所有 Kafka 集群现在都启用了 FIPS 模式运行。