目前开源日志代理最新版本有的会对ssl握手进行common name的校验,(如logstash 6.x)所以在部署的时候如果采用证书方式进行部署的话需要把连接的域名和common name对应上。推荐采用阿里云的消息服务kafka(采用了SASL_SSL的方式进行ssl加密)
如何检验common name
openssl s_client -showcerts -connect kafka.bj.baidubce.com:9091
如上图所示,CN为mybroker 但域名是kafka.bj.baidubce.com:9091
这种情况 logstash6.x 是校验不通过的,filebeat有参数(verification_mode)可以不验证common name
但fluentd也不能正常进行握手。
最后
以上就是笑点低绿茶最近收集整理的关于 kafka的SSL证书校验不通过 的全部内容,更多相关 内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复