Centrifugo项目中Kafka客户端TLS证书配置问题解析

问题背景

在使用Centrifugo 5.4.6版本时，用户遇到了Kafka客户端连接问题。Kafka服务端启用了SSL安全连接，使用的是自签名证书。尽管用户确认证书本身是正确的（通过Python Kafka库测试验证），但在Centrifugo配置中却遇到了"tls: bad certificate"错误。

配置问题分析

从用户提供的配置示例来看，存在几个关键问题：

1. 混合使用文件路径和PEM内容：配置中同时使用了tls_key（文件路径）和tls_cert_pem（PEM内容），这种混合使用方式会导致TLS配置无法正确创建。

2. 证书格式问题：用户询问.crt格式证书是否可用，实际上Centrifugo底层使用的是Go语言的TLS实现，需要PEM编码的证书。

解决方案

统一配置方式

正确的做法是统一使用文件路径或PEM内容：

• 文件路径方式：

"tls_key": "path/to/key.pem",
"tls_cert": "path/to/cert.pem"

• PEM内容方式：

"tls_key_pem": "-----BEGIN PRIVATE KEY-----...",
"tls_cert_pem": "-----BEGIN CERTIFICATE-----..."

证书转换

如果现有证书是.crt格式，需要使用OpenSSL转换为PEM格式：

openssl x509 -in yourfile.crt -out yourfile.pem -outform PEM

深入排查

当基础配置调整后问题仍然存在时，可以考虑：

1. 启用调试日志：Centrifugo v6版本增加了TLS配置的调试日志功能，可以更清晰地看到证书加载过程。

2. 证书链完整性：确保提供的证书包含完整的证书链，包括中间CA证书。

3. 时间有效性：检查证书是否在有效期内。

最佳实践建议

1. 统一TLS配置方式：避免混合使用文件和PEM内容配置。

2. 证书验证：在配置前先用OpenSSL验证证书有效性：

openssl s_client -connect <broker_address> -key key.pem -cert cert.pem

3. 版本升级：考虑升级到Centrifugo v6，它提供了更清晰的TLS配置方式和更好的调试日志。

总结

Kafka TLS连接问题通常源于证书配置不当。通过统一配置方式、确保证书格式正确、利用调试工具逐步排查，大多数TLS相关问题都可以得到解决。Centrifugo v6版本对TLS配置进行了优化，提供了更清晰的错误信息和配置方式，是解决此类问题的良好选择。