在單個節點上使用SSL與Kafka

Question

我希望讓SSL與Kafka一起運行，以使其更安全。 我下載了Kafka並安裝了它。 我按照關於為SSL創建證書和信任庫的說明沒有問題。 我在config / server.properties中添加了以下內容

ssl.enabled.protocols=TLSv1.2,TLSv1.1,TLSv1
ssl.keystore.type=JKS
ssl.truststore.type=JKS

listeners=PLAINTEXT://localhost:9092,SSL://localhost:9093
ssl.endpoint.identification.algorithm=HTTPS
security.inter.broker.protocol=SSL
ssl.secure.random.implementation=SHA1PRNG
ssl.endpoint.identification.algorithm=HTTPS
ssl.keystore.location=/home/ec2-user/workspace/kafka/cert/server.keystore.jks
ssl.key.password=<the password>
ssl.keystore.password=<the password>
ssl.truststore.location=/home/ec2-user/workspace/kafk/cert/server.truststore.jks
ssl.truststore.password=<the password>

在啟動Zookeeper之后，當我啟動kafak時出現此錯誤：[2017-12-07 16：02：52,155] ERROR [Controller id = 0，targetBrokerId = 0]由於以下原因，與節點0的連接驗證失敗：SSL握手失敗（ org.apache.kafka.clients.NetworkClient）。 我必須殺死任務才能阻止這條消息

看logs/controller.log ：

[Controller-0-to-broker-0-send-thread]: Controller 0's connection to broker localhost:9093 (id: 0 rack: null) was unsuccessful (kafka.controller.RequestSendThread)

你必須在端口9093上打開防火牆嗎？

謝謝

Answer 1

握手失敗通常意味着他們能夠互相交談但無法達成一致。

您應該嘗試在配置中沒有ssl.endpoint.identification.algorithm=HTTPS行。 通常，證書檢查中的主機名不匹配是導致此類內容的原因。