我将开始讲述我想要实现的目标 . 所以我的设置是:
-
6 VM正在运行Ubuntu 14.04版本 . - 其中3个我已经设置了Kafka,而在3个我创建了zookeeper实例 .
-
我开始 生产环境 和消费,所有似乎都没有问题 .
现在我想使用已经提出kafka 0.9版本的SSL来保护设置 . 我只想在客户端和kafka代理之间设置SSL,以便他们可以安全地进行通信 . 我跟着下面的link .
我所做的唯一改变是:我已经用kafka经纪人的IP替换了localhost,因为我有6个VM在同一个网络上运行 .
在我运行以下命令时生成证书后,我遇到的问题是:
openssl s_client -debug -connect localhost:9093 -tls1
我收到消息连接:
连接拒绝连接:errno = 111
我不知道如何处理这个问题 . 我尝试使用谷歌搜索文件,但无法做任何事情 .
还有一些建议将是什么是安全的理想设置,我的需求是我只需要kafka客户端和经纪人之间的安全通信,我不需要担心kafka到kafka和kafka到动物园管理员的沟通 .
请帮助,Vishesh .
2 回答
经过几次尝试和一些同事的帮助,我能够使整个设置在9093端口上正常工作 .
出了什么问题是证书签名 . 因为我有3个kafka经纪人,所以我创建了3个不同的CA来签署证书,这是错误的 .
需要做的是您需要在所有代理和客户端中使用相同的单一CA签署证书,或者如果您拥有不同的证书,或者您计划为代理使用不同的证书,则需要拥有根CA这标志着所有其他CA.
您可以在此处的层次结构中阅读有关它的更多信息: - https://msdn.microsoft.com/en-us/library/windows/desktop/aa382479(v=vs.85).aspx
因此,如果您已在一个代理用户中完成设置,则所有其他代理和客户端中的相同ca-cert文件将对证书进行签名,它将起作用 .
检查用于SSL的公司端口是否已打开 . 经过长时间的研究我们确实设置了这个就是这个简单的事情 .