Kafka集群CA证书如何处理?
How to handle Kafka cluster CA certificate?
我已经安装了 Strimzi Kafka 并创建了支持 TLS 的集群,如下所示:
listeners:
plain: {}
tls:
authentication:
type: tls
自动创建的 Kafka 集群 CA 证书如下所示:
Entry type: trustedCertEntry
Owner: CN=cluster-ca v0, O=io.strimzi
Issuer: CN=cluster-ca v0, O=io.strimzi
Serial number: def376173b64bf84
Valid from: Tue Jan 26 23:25:07 MSK 2021 until: Wed Jan 26 23:25:07 MSK 2022
Certificate fingerprints:
SHA1: 4D:AA:27:0F:84:61:88:D0:B8:1C:CB:9A:DD:5F:D3:E8:3D:52:B4:65
问题是:一年过去了怎么办(证书自动生成,有效期为1年)。我为客户端 (producers/consumers) 使用 TLS 身份验证——因此我将此证书添加到客户端的 SSL 信任库中。一年过去了,我需要客户做什么?我想用新的集群 CA 证书更新信任库?
CA 将由 Strimzi 自动更新。您可以只更新您的信任库并继续使用您的集群。如果愿意,您还可以为监听器提供自己的证书:https://strimzi.io/docs/operators/latest/full/using.html#kafka-listener-certificates-str or your own CA: https://strimzi.io/docs/operators/latest/full/using.html#installing-your-own-ca-certificates-str
我已经安装了 Strimzi Kafka 并创建了支持 TLS 的集群,如下所示:
listeners:
plain: {}
tls:
authentication:
type: tls
自动创建的 Kafka 集群 CA 证书如下所示:
Entry type: trustedCertEntry
Owner: CN=cluster-ca v0, O=io.strimzi
Issuer: CN=cluster-ca v0, O=io.strimzi
Serial number: def376173b64bf84
Valid from: Tue Jan 26 23:25:07 MSK 2021 until: Wed Jan 26 23:25:07 MSK 2022
Certificate fingerprints:
SHA1: 4D:AA:27:0F:84:61:88:D0:B8:1C:CB:9A:DD:5F:D3:E8:3D:52:B4:65
问题是:一年过去了怎么办(证书自动生成,有效期为1年)。我为客户端 (producers/consumers) 使用 TLS 身份验证——因此我将此证书添加到客户端的 SSL 信任库中。一年过去了,我需要客户做什么?我想用新的集群 CA 证书更新信任库?
CA 将由 Strimzi 自动更新。您可以只更新您的信任库并继续使用您的集群。如果愿意,您还可以为监听器提供自己的证书:https://strimzi.io/docs/operators/latest/full/using.html#kafka-listener-certificates-str or your own CA: https://strimzi.io/docs/operators/latest/full/using.html#installing-your-own-ca-certificates-str