16.5. 配置外部客户端以信任集群 CA
此流程描述了如何配置位于 OpenShift 集群外的 Kafka 客户端 - 连接到 外部监听程序 - 信任集群 CA 证书。在替换旧客户端 CA 证书时,请在设置客户端和续订期间按照以下步骤操作。
按照以下步骤为基于 Java 的 Kafka Producer、Consumer 和 Streams API 配置由集群 CA 签名的信任证书。
根据集群 CA 的证书格式,选择遵循的步骤:PKCS #12 (.p12) 或 PEM (.crt)。
步骤描述了如何从 Cluster Secret 获取证书,以验证 Kafka 集群的身份。
重要
& lt;cluster_name> -cluster-ca-cert secret 在 CA 证书续订期间包含多个 CA 证书。客户端必须将它们全部添加到其信任存储中。
先决条件
- Cluster Operator 必须正在运行。
-
OpenShift 集群中需要有一个
Kafka资源。 - 您需要一个 Kafka 客户端应用程序,该应用程序将使用 TLS 进行连接,并且需要信任集群 CA 证书。
使用 PKCS #12 格式 (.p12)
从 Kafka 集群的 <
cluster_name> -cluster-ca-certSecret 中提取集群 CA 证书和密钥。oc get secret <cluster_name>-cluster-ca-cert -o jsonpath='{.data.ca\.p12}' | base64 -d > ca.p12oc get secret <cluster_name>-cluster-ca-cert -o jsonpath='{.data.ca\.password}' | base64 -d > ca.password将 <cluster_name > 替换为 Kafka 集群的名称。
使用以下属性配置 Kafka 客户端:
安全协议选项:
-
security.protocol :使用 TLS 时 SSL。 -
security.protocol:通过 TLS 使用 SCRAM-SHA 身份验证时 SASL_SSL。
-
-
ssl.truststore.location,使用导入证书的信任存储位置。 -
ssl.truststore.password,使用用于访问 truststore 的密码。如果信任存储不需要,则可以省略此属性。 -
ssl.truststore.type=PKCS12来识别信任存储类型。
使用 PEM 格式(.crt)
从 Kafka 集群的 <
;cluster-ca-certsecret 中提取集群 CA 证书。oc get secret <cluster_name>-cluster-ca-cert -o jsonpath='{.data.ca\.crt}' | base64 -d > ca.crt- 使用提取的证书,以 X.509 格式使用证书的客户端配置 TLS 连接。
