#客户端文件配置

为确保安全通信，请完成 Kafka 客户端关于加密传输的相关配置。

#必备文件预览

根据 Kafka 实例的认证类型准备文件。每个文件与 Kafka 实例一一对应。如有多个实例，则每个文件需分别配置，相关文件可放置于不同路径。针对集群内访问场景，客户端路径示例为 /home/kafka。

#一、配置 CA 证书

1. 生成 CA 证书。

   $ kubectl -n {Kafka instance namespace} get secret {Kafka instance name}-cluster-ca-cert -o jsonpath='{.data.ca\.p12}' | base64 -d > ca.p12

2. 生成 CA 证书密码，请妥善记录该密码。

   $ kubectl -n {Kafka instance namespace} get secret {Kafka instance name}-cluster-ca-cert -o jsonpath='{.data.ca\.password}' | base64 -d

#二、用户证书

1. 生成用户证书。

   $ kubectl -n {Kafka instance namespace} get secret {Kafka user name} -o jsonpath='{.data.user\.p12}' | base64 -d > user.p12

2. 生成用户证书密码，请妥善记录该密码。

   $ kubectl -n {Kafka instance namespace} get secret {Kafka user name} -o jsonpath='{.data.user\.password}' | base64 -d

#三、配置客户端配置文件

#client-ssl.properties（无认证）

$ cat << EOF > client-ssl.properties
security.protocol=SSL
ssl.truststore.type=PKCS12
ssl.truststore.location=/home/kafka/ca.p12
ssl.truststore.password={CA certificate password}
EOF

#client.properties（SCRAM-SHA-512 认证）

前提条件：在用户管理页签中，点击密钥字典并记录password字段的值。

$ cat << EOF > client.properties
security.protocol=SASL_SSL
ssl.truststore.type=PKCS12
ssl.truststore.location=/home/kafka/ca.p12
ssl.truststore.password={CA certificate password}

sasl.mechanism=SCRAM-SHA-512
sasl.jaas.config=org.apache.kafka.common.security.scram.ScramLoginModule required \
    username="{Kafka user name}" \
    password="{Kafka user password}";

EOF

#client-ssl.properties（TLS 认证）

$ cat << EOF > client-ssl.properties
security.protocol=SSL
ssl.truststore.type=PKCS12
ssl.truststore.location={client path}/ca.p12
ssl.truststore.password={CA certificate password}

ssl.keystore.type=PKCS12
ssl.keystore.location=/home/kafka/user.p12
ssl.keystore.password={user certificate password}
EOF

#四、将文件复制到客户端

提示：请参考必备文件预览表，确定您的访问方式所需的文件。

集群内访问

确保必备文件放置于客户端配置文件中指定的路径。

$ kubectl cp ./{required file name} {Kafka client namespace}/{Kafka client Pod name}:/home/kafka/ -c kafka

集群外访问

确保必备文件放置于客户端配置文件中指定的路径。