目前開源日志代理最新版本有的會對ssl握手進行common name的校驗,(如logstash 6.x)是以在部署的時候如果采用證書方式進行部署的話需要把連接配接的域名和common name對應上。推薦采用阿裡雲的消息服務kafka(采用了SASL_SSL的方式進行ssl加密)
如何檢驗common name
openssl s_client -showcerts -connect kafka.bj.baidubce.com:9091
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsIyZuBnL4AzN5gTNyUmM0EDOlZGN5kjZmVGOidjZ3gTYiVWOyIGMmNTM5kjM08CXt92Yu4GZjlGbh5SZslmZxl3Lc9CX6MHc0RHaiojIsJye.png)
如上圖所示,CN為mybroker 但域名是kafka.bj.baidubce.com:9091
這種情況 logstash6.x 是校驗不通過的,filebeat有參數(verification_mode)可以不驗證common name
但fluentd也不能正常進行握手。