我已经将Strimzi Kafka与带有TLS监听器的Kafka集群一起安装了(在OpenShift中,如果有关系的话)。当我添加< code>KafkaUser时,我会请求TLS验证,如下所示:
spec:
authentication:
type: tls
authorization:
type: simple
然后,我提取由 Strimzi 用户的密钥库创建的密钥库,并在从客户端代码连接到 Kafka 引导服务器时提供它。
问题:当添加<code>KafkaUser</code>时,我如何提供自定义SSL证书,或者有没有办法用自定义证书替换自动生成的SSL用户证书(例如延长有效期)?特别是,将用户的证书添加到哪个秘密的信任库?或者这是一种糟糕的做法,我应该坚持自动生成?
要对群集进行身份验证,您必须使用由受信任的CA签署的证书。因此,您不能提供随机证书并使用它。因此,如果您想使用用户操作员,您必须用代理信任的CA,并且用户操作员从中获取用户证书。您可以使用生成的Strimzi CA,也可以提供自己的证书。或者,如果你愿意,你也可以提供你自己的可信证书,并以任何你想要的方式颁发你的用户证书,而根本不使用user操作符和KafkaUser资源。
