具有中级CA和根CA的Kafka Truststore(链)

时间:2019-08-28 12:20:10

标签: ssl apache-kafka keystore confluent truststore

我对Kafka的SSL设置有问题。我的测试设置使用一个自签名的CA,并且一切运行正常。我公司中的生产设置使用公司根CA和中间CA。这似乎不适用于kafka。

自签名(工作中):

  • 带有证书+密钥的密钥库(由我自己的CA签名)
  • 具有我自己的CA的公共证书的信任库

公司CA(无效)

  • 带有证书+密钥的密钥库(由中级CA公司签名)
  • 具有中间CA的信任库 AND / OR CARoot
  • 启动代理失败,出现SSL握手异常(??)

公司CA(正在运行,但需要在信任库中手动部署证书)

  • 带有证书+密钥的密钥库(由中级CA公司签名)
  • 具有中间CA的信任库 AND CARoot AND 客户证书

我没有得到的东西:

  • 如果将CARoot和/或中间CA放入信任库,为什么SSL配置不起作用?
  • 通过验证kafka中的完整证书链是否有问题?
  • 其他人如何解决此设置的?我几乎找不到有关此的任何信息。

经纪人配置:

ssl.client.auth=required
ssl.endpoint.identification.algorithm=

# SSL Additions
security.inter.broker.protocol=SSL
ssl.truststore.location=/var/ssl/private/broker-X.truststore.jks
ssl.truststore.password=whatever
ssl.keystore.location=/var/ssl/private/broker-X.keystore.jks
ssl.keystore.password=whatever
ssl.key.password=whatever
ssl.enabled.protocols=TLSv1.2

0 个答案:

没有答案
相关问题
最新问题