我安装了带有TLS侦听器的Kafka集群的Strimzi Kafka(如果重要的话,在OpenShift中(。当我添加KafkaUser
时,我请求TLS身份验证,如下所示:
spec:
authentication:
type: tls
authorization:
type: simple
然后,我提取Strimzi用户创建的密钥库,并在从客户端代码连接到Kafka引导服务器时提供它。
问题:添加KafkaUser
时,我如何提供自定义SSL证书,或者有没有办法用自定义证书替换自动生成的SSL用户证书(例如延长有效期(?特别是,将用户的证书添加到哪个秘密的信任库?或者这是一种糟糕的做法,我应该坚持使用自动生成?
要对集群进行身份验证,您必须使用由受信任的CA签名的证书。因此,您不能提供随机证书并使用它。因此,如果您想使用User操作符,您必须用用代理信任的CA,并且User操作符从中获取用户证书。您可以使用生成的Strimzi CA,也可以提供自己的证书。或者,如果你愿意,你也可以提供你自己的可信证书,并以任何你想要的方式颁发你的用户证书,而根本不使用user操作符和KafkaUser资源。