Chúng tôi đang cố gắng tạo chứng chỉ máy chủ cho một cụm máy chủ Kafka để giao tiếp qua SSL.
Quy trình hoạt động, nhưng hiệu lực của các chứng chỉ chỉ là 30 ngày.
Chúng tôi đang yêu cầu 365 ngày và sau "Bước 1" (xem bên dưới), chúng tôi có một cặp khóa có giá trị chính xác. Xem (1) bên dưới.
Tuy nhiên, sau khi chúng tôi nhập lại chứng chỉ đã ký vào kho khóa, hiệu lực đã giảm xuống còn 30 ngày. Xem (2) bên dưới.
Tại sao vậy, và làm thế nào chúng ta có thể sửa chữa nó?
echo "Bước 1: Tạo danh tính máy chủ và kho khóa"
$ORACLE_JDK_1_8_0_u181_keytool -genkey -keystore keystore.p12 -alias localhost -validity 365 -keyalg RSA -deststoretype pkcs12 -ext SAN="DNS:$SERVER_NAME.corp.com,IP:1.2.3.4"
$ORACLE_JDK_1_8_0_u181_keytool -list -v -keystore keystore.p12 -storepass $KPWD
# (1) Thể hiện hiệu lực 365 ngày: đúng
echo "Bước 2: Xuất khóa riêng từ kho khóa sang một tệp riêng"
openssl pkcs12 -in keystore.p12 -nodes -nocerts -out $SERVER_NAME_key.pem -passin pass:$KPWD -passout pass:$KPWD
echo "Bước 3: Tạo Yêu cầu ký chứng chỉ (CSR)"
openssl req -new -key $SERVER_NAME_key.pem -out $SERVER_NAME.csr -passin pass:$KPWD -passout pass:$KPWD
echo "Bước 6 Ký chứng chỉ máy chủ"
openssl x509 -req -in $SERVER_NAME.csr -CA CAcert.pem -CAkey CAkey.pem -CAcreateserial -out $SERVER_NAME_key_signed.pem -passin pass:$CAPD
echo "Bước 7: Nhập cả chứng chỉ của CA và chứng chỉ đã ký vào kho khóa."
$ORACLE_JDK_1_8_0_u181_keytool -keystore keystore.p12 -alias CARoot -import -file CAcert.pem -storepass $KPWD
$ORACLE_JDK_1_8_0_u181_keytool -keystore keystore.p12 -alias localhost -import -file $SERVER_NAME_key_signed.pem -storepass $KPWD
$ORACLE_JDK_1_8_0_u181_keytool -list -v -keystore keystore.p12 -storepass $KPWD
# (2) Thể hiện hiệu lực 30 ngày: SAI. TẠI SAO?
