RHEL7 Elastic Stack 6.7.1 Без использования X-Pack. (следующий это руководство)
У меня проблемы с настройкой SSL на Kibana через 5601. Сначала я сгенерировал ключ, а затем я создал CSR и отправил его в центр сертификации. Я получил сертификат и имею два доступных сертификата. Кодировка Base 64 и кодировка Base 64 с цепочкой сертификатов CA в формате pkcs7.
Я получил оба, поместил Base64 в файл mycert.cer, поместил pcks7 в файл mycert.p7b. Преобразовал pcks7 в pem с
openssl pkcs7 -print_certs -in /etc/kibana/certs/mycert.p7b -out /etc/kibana/certs/mycert.pem
Я поместил / убедился, что .key, .cer и .pem находятся в папке / etc / kibana / cert, и сменил владельца: group на kibana.
в kibana.yml я положил
server.ssl.enabled: true
server.ssl.certificate:/etc/kibana/certs/mycert.cer
server.ssl.key: /etc/kibana/certs/mycert.key
elasticsearch.ssl.certificate: /etc/kibana/certs/mycert.pem
Первоначально я создал CSR с CN
myhost.mydomain.tld
затем, после того, как это не удалось, я создал один с
https://myhost.mydomain.tld:5601
Когда я пытаюсь запустить Kibana, я получаю сообщение об ошибке:
digital envelope routines:EVP_DecryptFinal_ex:bad decrypt
Пытаясь найти этот предмет, я вижу, что это может быть вызвано несовместимыми версиями OpenSSL, но я нахожусь в той же системе, поэтому это кажется маловероятным.
--update - Чтобы добавить к этому, я только что создал самозаверяющий сертификат & ca, который запустил Kibana прямо сейчас, и он доступен. Заставляет меня поверить, что проблема в цепочке сертификатов, подписанных CA.
так что я решил это. Я считаю, что ошибка заключалась в том, что у меня неправильно установлен -ext.
Я воссоздал Ключ и CSR (мой CA должен любить меня) строго следуя этому
keytool -genkey \
-alias node01 \
-keystore node01.jks \
-keyalg RSA \
-keysize 2048 \
-validity 712 \
-ext san=dns:node01.example.com,ip:192.168.1.1
потом КСО с этим.
keytool -certreq \
-alias node01 \
-keystore node01.jks \
-file node01.csr \
-keyalg rsa \
-ext san=dns:node01.example.com,ip:192.168.1.1
На этот раз я убедился, что использовал параметр -ext (в документации говорится, что это необязательно), и убедился, что псевдоним и расширение были точными. Я не использовал хранилище ключей, а просто установил его локально.
Затем я сохранил ключ, сертификат base64 и версию PKCS7 локально - преобразовал PKCS7 в PEM и настроил мою Kibana на поиск crt, ключа и pem.