не заметно

ибо ссл там хрен заведешь из коробки

керберос быстро тоже не взлетел

про версии выше писал

Если разрешены самоподписные сертификаты, то заведешь. Если от уц, то да, приходится руками в трастор импортить

меня вот обещали научить, как добавлять свой корневой в сущзествующий кистор, научишь?

а то гугл и я умеем только новый создавать 🙁

Ещё из полезного-амбари вью, туда можно запустить не слишком квалифицированный персонал.

В кистор или трастор? Мы для добавления узла и раскатки на нём клиентов при включенном ссл добавляли именно в амбари трастор.

там надо именно в keystore.jks у какого-то сервиса

амбари сам не умеет, а кистор не пустой

keytool -keystore kafka.server.keystore.jks -alias CARoot -import -file ca-cert - нет не оно?

это вроде новый, а не существующий

нет, это добавление

он перезапишет данные

если только в этом кисторе есть такой же альяс

возьму на заметку, скоро как раз опять тыкать буду, буду стримить сюда 😬

Для p7b так было

1. Конвертируем из p7b в cer
openssl pkcs7 -print_certs -in /hdfs/security/hostname.p7b -out /hdfs/security/hostname.cer

2. Импортируем .cer и приватный ключ в keystore в формате PKCS12
openssl pkcs12 -export -in /hadoop/security/keys/hostname.cer -inkey /hadoop/security/keys/hostname.key -out /hadoop/security/keys/hostname.pfx

3. Импортируем keystore в формате PKCS12 в формат JKS
keytool -v -importkeystore -srckeystore /hadoop/security/keys/hostname.pfx -srcstoretype PKCS12 -destkeystore /hadoop/security/keys/keystore.jks

а не в java cacerts ?

это в том кейсе вообще не трогали. может, там уже просто было