Eri*_*kas 4 ssl pem apache-kafka
首先,我已经看过这个线程,但它不相关并且有不同的问题。
我的 Kafka 属性文件中有以下设置片段:
ssl.keystore.type=PEM
ssl.keystore.key=/path/to/private.key
ssl.keystore.certificate.chain=/path/to/certificate.pem
ssl.truststore.type=PEM
ssl.truststore.certificates=/path/to/ca.pem
ssl.endpoint.identification.algorithm=
请注意,ssl.endpoint.identification.algorithm使用 是因为集群中的每个服务器都使用单服务器证书,因此我必须通过这种方式绕过 SSL 主机名验证。
启动 Kafka 时,我收到以下信息:
org.apache.kafka.common.KafkaException: org.apache.kafka.common.errors.InvalidConfigurationException: Invalid PEM keystore configs
at org.apache.kafka.common.network.SaslChannelBuilder.configure(SaslChannelBuilder.java:184)
at org.apache.kafka.common.network.ChannelBuilders.create(ChannelBuilders.java:192)
at org.apache.kafka.common.network.ChannelBuilders.serverChannelBuilder(ChannelBuilders.java:107)
at kafka.network.Processor.<init>(SocketServer.scala:853)
at kafka.network.SocketServer.newProcessor(SocketServer.scala:442)
at kafka.network.SocketServer.$anonfun$addDataPlaneProcessors$1(SocketServer.scala:299)
at scala.collection.immutable.Range.foreach$mVc$sp(Range.scala:190)
at kafka.network.SocketServer.addDataPlaneProcessors(SocketServer.scala:297)
at kafka.network.SocketServer.$anonfun$createDataPlaneAcceptorsAndProcessors$1(SocketServer.scala:262)
at kafka.network.SocketServer.$anonfun$createDataPlaneAcceptorsAndProcessors$1$adapted(SocketServer.scala:259)
at scala.collection.IterableOnceOps.foreach(IterableOnce.scala:563)
at scala.collection.IterableOnceOps.foreach$(IterableOnce.scala:561)
at scala.collection.AbstractIterable.foreach(Iterable.scala:919)
at kafka.network.SocketServer.createDataPlaneAcceptorsAndProcessors(SocketServer.scala:259)
at kafka.network.SocketServer.startup(SocketServer.scala:131)
at kafka.server.KafkaServer.startup(KafkaServer.scala:285)
at kafka.Kafka$.main(Kafka.scala:109)
at kafka.Kafka.main(Kafka.scala)
Caused by: org.apache.kafka.common.errors.InvalidConfigurationException: Invalid PEM keystore configs
Caused by: org.apache.kafka.common.errors.InvalidConfigurationException: No matching PRIVATE KEY entries in PEM file
事情是 - private.key,certificate.pem并且ca.pem是有效的文件并且可以与其他应用程序/客户端库一起使用。我用它们来创建密钥库/信任库,它工作得很好。使用密钥库/信任库时,我还使用这 3 个文件从 Python 连接到 Kafka,效果很好。我确认这些文件有效并且与其他应用程序没有问题。
另请注意,私钥是PKCS#8类型,这是 Kafka 所期望的:
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
我究竟做错了什么?
小智 7
在 Kafka 中指定 PEM 证书的属性有点令人困惑,但希望这个概述能有所帮助。在 Kafka 中指定证书有两种方式:文件或字符串(文件内容)。
在这两种情况下,您都需要指定以下属性:
ssl.keystore.type=PEMssl.truststore.type=PEMssl.key.password=(如果私钥未加密则为空)值得重申的是,如果私钥是加密的,那么它必须是PKCS#8Java可以读取的格式。
在这种情况下,您需要指定以下属性:
ssl.keystore.location=/path/to/file/containing/certificate/chainssl.truststore.location=/path/to/truststore/certificate这里的“技巧”是文件ssl.keystore.location必须包含以下内容(并且按照这个确切的顺序):
如果您想提供密钥/证书/根证书的内容,则可以使用以下属性:
ssl.keystore.certificate.chain=-----BEGIN CERTIFICATE----- ...ssl.keystore.key=-----BEGIN PRIVATE KEY-----...与上面类似,ssl.keystore.certificate.chain应包含以下内容: