Kafka 消息客户端自签名证书由 NSX Manager Unified Appliance 中运行的 NSX Intelligence 通用代理使用。它仅支持 RSA 加密。您可以将该默认自签名证书替换为 CA 签名证书。

您可以将默认自签名证书替换为具有私钥的 CA 签名证书或具有 CSR 的 CA 签名证书。在导入证书时,NSX Manager Unified Appliance 使用的 Kafka 消息传递服务将变得不可用。

前提条件

  • 您必须具有企业管理员帐户特权。
  • 确保在 NSX Application Platform 上不存在活动警报。
  • 确认您拥有具有私钥的有效证书或具有证书签名请求 (CSR) 的证书。您必须使用 NSX Manager UI 生成 CSR。

过程

  1. 使用企业管理员用户帐户登录到 NSX Manager 设备。
  2. 在系统命令提示符下运行以下命令,以便在 NSX Manager 上导入 CA 签名证书。 
    curl -v -H "Content-Type: application/json" -ku 'username:password' 'https://<manager-ip-aeddress>/api/v1/trust-management/certificates?action=import' -d 
{
     "pem_encoded": "xxx",
     "private_key": "yyyy"
}
  3. 通过运行以下命令,将 CA 签名证书应用为 Kafka 消息客户端证书。 
    curl -v -H "Content-Type: application/json" -ku 'username:password' 'https://<manager-ip>/api/v1/trust-management/certificates/<certificate-id>?action=apply_certificate&service_type=K8S_MSG_CLIENT'