Предупреждение zookeeper ssl «предупреждение о плохом сертификате»

John Mark

14.12.2022, 21:15

Я использую Kafka (версия 2.3.0) и Zookeeper (версия 3.5.5-3) — стабильная версия 3.6.3.

Когда я проверяю SSL моего Zookeeper с помощью этой команды:

openssl s_client -showcerts -connect 127.0.0.1:2280 -CAfile /certs/ca-chain.cert.pem

и я получаю эту ошибку:

140371409225024: ошибка: 14094412: подпрограммы SSL: ssl3_read_bytes: предупреждение о недопустимом сертификате sslv3:../ssl/record/rec_layer_s3.c:1543: номер предупреждения SSL 42

Но если я установлю Zookeeper версии 3.5.7 и выше и смогу добавить это в свой zoo.cnf или zookeeper.properties:

ssl.clientAuth=хочу и я больше не вижу никаких ошибок SSL.

Любые советы/предложения о том, как исправить эту ошибку SSL без обновления (в данный момент я не хочу обновляться, чтобы избежать других конфликтов, таких как круиз-контроль Kafka и другие).

Заранее спасибо!

281

1 + 0

работник зоопарка

кафка

Рейтинг:0

Server

Steffen Ullrich

14.12.2022, 21:34

Zookeeper до версии 3.5.7 ожидает mutial TLS, то есть клиент аутентифицирует себя с помощью собственного сертификата. Только начиная с 3.5.7 он может сделать клиентские сертификаты необязательными («хочу») или даже не запрашивать («нет»). Это означает, что единственный способ для более старых версий — фактически иметь клиентские сертификаты, т. е. -сертификат и -ключ варианты для openssl s_client.

0 + 2

John Mark

16.12.2022, 23:44

Спасибо за вашу помощь.Поэтому я использовал этот `openssl s_client -showcerts -connect 55.55.55.55:2280 -CAfile /certs/ca-chain.cert.pem -cert /root/ca/intermediate/certs/intermediate.cert.pem Â -key /root/ ca/intermediate/private/intermediate.key.pem`, и он отлично работает. Но как я могу использовать -cert и -key для подключения моего сервера Kafka к Zookeeper?

Ответить

Steffen Ullrich

17.12.2022, 03:59

@JohnMark: я не знаком с конфигурацией Kafka, но из [быстрого поиска] (https://www.google.com/search?q=kafka+zookeeper+configuration+client+certificate) в основном это похоже на установку клиентских сертификатов. и введите ключ в хранилище ключей и позвольте Кафке использовать его. Инструкции, вероятно, легче понять тому, кто уже знаком с Kafka и Zookeeper.

Ответить

Admin

Этот вопрос на других языках:

EN: zookeeper ssl alert "alert bad certificate"

TH: การแจ้งเตือน Zookeeper ssl "การแจ้งเตือนใบรับรองไม่ถูกต้อง"

RO: zookeeper ssl alert "alert bad certificat"

RU: Предупреждение zookeeper ssl «предупреждение о плохом сертификате»

VI: cảnh báo ssl của người quản lý vườn thú "cảnh báo chứng chỉ xấu"

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.