Вопросы Теги

Включение SSL на Kibana

RHEL7 Эластичный стек 6.7.1 Без использования X-Pack. (следуя этому руководству )

У меня проблемы с настройкой SSL на Kibana через 5601. Сначала я сгенерировал ключ, а затем сгенерировал CSR и отправил его в центр сертификации. Я получил сертификат и имею два доступных сертификата. Кодировка Base 64 и кодировка Base 64 с помощью цепочки сертификатов CA в формате pkcs7.

Я извлек оба, поместил Base64 в файл mycert.cer, поместил pcks7 в файл mycert.p7b. Преобразовал pcks7 в pem с помощью

openssl pkcs7 -print_certs -in /etc/kibana/certs/mycert.p7b -out /etc/kibana/certs/mycert.pem

Я поставил / убедился, что .key,. cer и .pem находились в папке / etc / kibana / cert и сменили владельца: group на kibana.

в kibana.yml я поместил 

server.ssl.enabled: true 
server.ssl.certificate:/etc/kibana/certs/mycert.cer
server.ssl.key: /etc/kibana/certs/mycert.key 
elasticsearch.ssl.certificate: /etc/kibana/certs/mycert.pem

Первоначально я создал CSR с CN 

myhost.mydomain.tld

, а затем после сбоя Я создал его с помощью 

https://myhost.mydomain.tld:5601

. Когда я пытаюсь запустить Kibana, я получаю сообщение об ошибке: 

digital envelope routines:EVP_DecryptFinal_ex:bad decrypt

При поиске по теме я вижу, что это может быть вызвано несовместимыми версиями OpenSSL - но я нахожусь в той же системе так что это кажется маловероятным.

- update-- Чтобы добавить к этому, я просто создал самозаверяющий сертификат & ca, который запустил Kibana прямо сейчас, и он доступен. Это заставляет меня думать, что проблема в цепочке сертификатов, подписанных CA.

1
задан 2 May 2019 в 18:23
1 ответ

, поэтому я решил его. Я считаю, что часть ошибки заключалась в том, что у меня неправильно установлен -ext.

Я воссоздал ключ и CSR (мой CA должен любить меня) строго следуя этому 

keytool -genkey                  \
        -alias     node01        \ 
        -keystore  node01.jks    \ 
        -keyalg    RSA           \
        -keysize   2048          \
        -validity  712           \
        -ext san=dns:node01.example.com,ip:192.168.1.1

, а затем CSR с этим. 

keytool -certreq                   \
        -alias      node01         \ 
        -keystore   node01.jks     \
        -file       node01.csr     \
        -keyalg     rsa            \
        -ext san=dns:node01.example.com,ip:192.168.1.1

] На этот раз я убедился, что использовал параметр -ext (в документации говорится, что это необязательно), и убедился, что псевдоним и расширение были точными. Я не использовал хранилище ключей, а просто установил его локально.

Затем я сохранил ключ, сертификат base64, версию PKCS7 локально - преобразовал PKCS7 в PEM и настроил мою Kibana на поиск crt, ключа и pem.

0
ответ дан 4 December 2019 в 03:00

Теги

Похожие вопросы