Kafka SSL安全设置导致问题

时间:2016-02-26 13:35:12

标签: security ssl apache-kafka

我将开始讲述我想要实现的目标。所以我的设置是:

  1. 6 VM正在运行Ubuntu 14.04版本。 - 其中3个我已经设置了Kafka,而在3个我创建了zookeeper实例。

  2. 我开始生产和消费,所有似乎都没有问题。

  3. 现在我想使用提供kafka 0.9版本的SSL来保护设置。我只想在客户端和kafka代理之间设置SSL,以便他们可以安全地进行通信。我跟着下面的link

    我所做的唯一改变是:我已经用kafka经纪人的IP替换了localhost,因为我有6个VM在同一个网络上运行。

    我遇到的问题是在运行以下命令后生成证书之后:

    openssl s_client -debug -connect localhost:9093 -tls1 
    

    我收到消息连接:

      

    连接拒绝连接:errno = 111

    我不知道如何处理这个问题。我尝试使用谷歌搜索文件,但无法做任何事情。

    另外一些建议是什么是理想的安全设置,我的需求是我只需要kafka客户端和经纪人之间的安全通信,我不需要担心kafka到kafka和kafka到动物园管理员的沟通。

    请帮忙, Vishesh。

2 个答案:

答案 0 :(得分:2)

经过几次尝试和一些同事的帮助后,我能够在9093端口上正确运行整个设置。

证书签名出了什么问题。因为我有3个kafka经纪人,所以我创建了3个不同的CA来签署证书,这是错误的。

需要做的是您需要在所有经纪人和客户中使用相同的单一CA签署证书,或者如果您拥有不同的证书,或者您计划为经纪人使用不同的证书,则需要签署所有其他CA的根CA.

您可以在此处的层次结构中阅读有关它的更多信息: - https://msdn.microsoft.com/en-us/library/windows/desktop/aa382479(v=vs.85).aspx

因此,如果您在一个代理用户中完成了设置,则所有其他代理和客户端中的相同ca-cert文件都会对证书进行签名,它将起作用。!!

答案 1 :(得分:0)

检查用于SSL的公司端口是否已打开。经过长时间的研究我们确实设置了这个就是这个简单的事情。