Кафка, зачем мне проходить цепочку сертификатов, а не только root, при тестировании с kafka-console -roduction (или Kafkcat)

Question

У меня есть кластер Kafka, который настроен для использования через ssl через порт 9093.

Для того, чтобы я успешно отправил данные через порт 9093, мне нужно пройти цепочку сертификатов (промежуточный + корневой CA) (все это самозаверяющие вещи)

echo "Hello" | kafkacat -P -b localhost:9095 -t my-topic \
    -X security.protocol=ssl \
    -X ssl.key.location=cert-key.pem \
    -X ssl.ca.location=chain.crt

(chain.crt - это файл с rootCA и промежуточным сертификатом)

У меня вопрос, зачем мне выпускать полную цепочку, а нетолько корневой CA в параметре ssl.ca.location?

Answer 1

ssl.key.location - клиентский сертификат для аутентификации у брокера.ssl.ca.location используется клиентом для проверки сертификата брокера.