在本文中，淘客放单平台，我们将使用两个不同的客户机用双向SSL连接Kafka代理。我们将使用Advantco Kafka适配器以及Kafka控制台来生成和使用来自代理的消息。

使用双向SSL，智能物联网，下面是客户端如何在加密通道中请求资源：

在本文中，我们只关注如何在客户端设置，我们假设代理是使用SSL/TLS设置的，并且可以使用。我们需要来自代理的连接信息：

代理侦听SSL的端口（SSL://{port}或SASL\ U SSL://{port}）。服务器身份验证的证书。它可以从信任库导出(服务器.truststore.jks)或者密钥库(服务器.keystore.jks). 假设一个集群有多个代理，每个代理有不同的密钥库，但是为每个密钥库/代理签署CSR的CA根证书是相同的。让我们把它命名为caroot_戈达迪.crt供以后参考。通过设置客户端.auth必须是"requested"或"required"。

我们在文章中经常使用"keystore"和"truststore"这两个术语。让我们先解释一下，"keystore"是一个存储私有公钥和证书的存储库/文件，"truststore"是一个只存储证书的存储库/文件_戈达迪.crt)对于服务器身份验证（也称为单向SSL）。对于客户端身份验证（第二种方式SSL），我们需要一个密钥库，免费vps服务器，大数据下载，其中包括公私密钥和一个签名证书（自签名或来自受信任的CA）以及一个对证书进行签名的CA根证书。

CA根证书用于对证书签名请求（CSR）进行签名，我们可以生成它来对证书进行签名（自签名），也可以从受信任的CA导出它。

让我们为客户端创建密钥库。

创建客户端密钥库

创建客户端证书签名请求（CSR）

CSR文件可以由受信任的CA签名，也可以由自签名。

下面是我们要自己对证书进行签名的步骤

创建CA密钥和CA证书openssl请求-新-x509-密钥输出ca密钥输出ca证书-3650天使用CA密钥和CA证书对CSR文件进行签名openssl x509-req-CA CA cert-CAkey CA key-in client cert sign request-out client cert signed-days 3650-CAcreateserial-passin通过：password1创建完整的链证书。使用任何文本编辑器将文件ca cert和客户端cert的内容复制到名为完成主.crt. 与Unix命令类似cat ca证书客户端证书签名>完成主.crt

现在我们将证书链导入密钥库。

密钥库已准备就绪。最后一步是导出CA根证书。

我们正在使用密钥库资源管理器导出CA根证书。

将CA根证书命名为carootsapcpip0520。crt

此步骤应由Kafka团队执行。我们发送上一步的CA根证书文件，并要求他们将其导入broker truststore。

假设broker truststore文件名为服务器.truststore.jks

SAP CPI/HCI和PI/PO两个平台有不同的版本，但适配器配置相同

双向SSL可用于无身份验证模式只要其他身份验证模式，如Kerberos、Plain、SCRAM…

我们就有一个密钥库(客户端.keystore.jks)以及证书（caroot_戈达迪.crt)在前面的步骤中，我们将其导入密钥存储中，以便在以后的通道配置中引用

PI/PO密钥存储不支持密钥存储的Java密钥存储（JKS）格式，我们必须将其转换为P12格式。

将JKS转换为P12

密钥存储视图SAP\U KAFKA\U客户端

这里是一个带有Kerberos的双向SSL示例

测试双向SSL的最佳方法是使用KAFKA控制台，我们不必编写任何代码来测试它。

只需从Apache KAFKA网站下载KAFKA到客户端，它包括bin目录中的kafka控制台生产者和kafka控制台消费者。我们将使用其中一个来测试连接性。

要使用控制台，免费大数据，我们必须创建两个东西：

包装服务器证书（caroot）_戈达迪.crt)到客户端信任库

创建客户端属性文件客户端-ssl.properties属性把它复制到卡夫卡的bin目录，应该有以下几行：

它准备好使用卡夫卡控制台生产者产生一个测试消息的主题

我们做了。希望你觉得有用。