Могу ли я настроить logstash с сертификатами, сгенерированными Windows, вместо openssl?
Прохождение этот учебник .
Они используют openssl для генерации сертификатов для использования с logstash, то есть этой командой:
sudo openssl req -subj '/CN=ELK_server_fqdn/' -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout private/logstash-forwarder.key -out certs/logstash-forwarder.crt
Теперь файл logstash-forwarder.crt будет установлен на серверах, которые будут отправлять журналы в logstash.
Мой вопрос: если у меня настроена инфраструктура служб сертификации Windows, могу ли я сгенерировать сертификат для сервера logstash через Windows CA вместо этого? Будут ли проблемы с этим или проблемы с совместимостью?
Я предполагаю, что просто отправляю новый запрос сертификата в центр сертификации Windows с сервера logstash / ELK и генерирую сертификат, который будет работать таким же образом. Возможно ли это?
Сертификаты x509, генерируемые центром сертификации на базе Windows, ничем не отличаются от сертификатов, генерируемых центром сертификации на базе OpenSSL. Единственное, о чем следует опасаться - какой формат кодируется загруженный файл сертификата. В Windows CA у вас будет возможность использовать кодировку DER или PEM (base64). Обычно вы хотите версию PEM, если приложение специально не запрашивает DER.
.