Kafka AWS MSK SSL证书使用者备用名称

gmxoilav 于 2023-01-20 发布在 Apache

关注(0)|答案(2)|浏览(204)

我正在尝试使用指向Amazon提供的DNS记录的Route 53 DNS CNAME记录连接到MSK群集。
AWS MSK DNS：b-1.msksandbox.nrfnuy.c42.kafka.us-east-1.amazonaws.com DNS我需要用途：b-1.msk.sandbox.internal.company.com
我得到的错误：

Error while executing topic command : SSL handshake failed

ERROR org.apache.kafka.common.errors.SslAuthenticationException: SSL handshake failed
Caused by: javax.net.ssl.SSLHandshakeException: No subject alternative DNS name matching b-1.msk.sandbox.internal.company.com found.

Caused by: java.security.cert.CertificateException: No subject alternative DNS name matching b-1.msk.sandbox.internal.company.com found.

当我查看服务器证书时，它显示

Server certificate
subject=CN = *.msksandbox.nrfnuy.c42.kafka.us-east-1.amazonaws.com
issuer=C = US, O = Amazon, OU = Server CA 1B, CN = Amazon

我想知道是否有可能使53号路由和MSK一起工作（我使用IAM身份验证）

apache-kafka

来源：https://stackoverflow.com/questions/75150549/aws-msk-ssl-certificate-subject-alternative-name

2条答案

按热度按时间

qnzebej01#

您可以使用NLB实现此操作。然后您将在NLB上附加证书。您的证书将在NLB上终止。NLB和MSK之间的连接将使用MSK证书。

赞(0）回复(0）举报 2023-01-20

a14dhokn2#

当前不支持自定义域名。
为了使用R53和证书实现自定义域名，您需要在NLB终止证书，然后目标组将创建到代理的........IP地址的连接，因为在目标组中，您只能指定IP，而不能指定代理的域名。NLB和代理之间的SSL连接将失败，因为代理的IP地址没有添加到部署在代理端的证书中，所以NLB不会信任该连接。
唯一可行的方法是在NLB和MSK之间使用纯文本连接（端口9092）。但这不安全，不推荐使用。

赞(0）回复(0）举报 2023-01-20

我来回答

Kafka AWS MSK SSL证书使用者备用名称

2条答案

相关问题

热门标签

最新问答