功能概述
当 CKafka 实例使用 SASL_SSL 接入方式时,客户端与 CKafka 实例之间的数据传输将通过 SSL/TLS 加密,降低数据在网络传输过程中被窃听、篡改或劫持的风险。
CKafka 支持集成腾讯云 SSL 证书服务,您可以为实例配置自定义 SSL 证书,用于满足公网访问、跨 VPC 访问、金融合规、多租户隔离等场景下的安全接入需求。本文介绍如何为 CKafka 实例配置自定义 SSL 证书,并通过 SASL_SSL 接入点使用该证书进行安全连接。
典型应用场景
公网安全接入:业务需要通过公网访问 CKafka 实例时,可使用 SASL_SSL 接入方式加密传输链路。
跨 VPC 或跨环境访问:业务需要跨 VPC、跨机房或跨云访问 CKafka 实例时,可通过 SSL/TLS 加密降低链路传输风险。
高敏感数据传输:金融、日志审计、交易流水等高敏感数据场景,可使用 SSL/TLS 加密提升传输安全性。
企业合规与审计:通过自定义证书满足企业内部安全规范、审计和合规要求。
约束与限制
1. 版本能力说明
不同内核版本支持的自定义 SSL 证书能力不同,具体如下:
内核版本 | 默认证书 | 自定义服务端证书 | |
| | 单向认证 | 双向认证 |
2.4 | 支持 | 支持 | 不支持 |
2.8 | 支持 | 支持 | 支持 |
3.2 | 不支持 | 不支持 | 不支持 |
2. 自定义证书的加密算法
当前仅支持以下加密算法的证书。
RSA | | ECC | |
2048 | 4096 | prime256v1 | secp384r1 |
3. 关于域名校验
CKafka 当前不支持自定义证书的域名校验。使用自定义证书连接实例时,客户端需关闭域名校验。
4. 证书托管与证书购买
配置流程
步骤1:准备 SSL 证书
步骤2:配置自定义 SSL 证书
步骤3:开启 SASL_SSL 接入点
步骤4:使用客户端收发消息
根据实例启用的认证模式,更新客户端连接配置,包括接入地址、用户名、密码、证书文件、truststore 等信息。客户端配置完成后,即可通过 SASL_SSL 接入点生产和消费消息,详情请参见客户端配置指南。
注意事项
自定义 SSL 证书变更可能影响客户端连接。建议在业务低峰期操作,并提前确认客户端证书配置。
如果客户端未关闭域名校验,可能因证书域名与接入域名不匹配导致连接失败。
证书过期可能导致客户端无法建立 SSL 连接,请及时关注证书有效期。
