Назад | Перейти на главную страницу

Включение SSL на Kibana

RHEL7 Elastic Stack 6.7.1 Без использования X-Pack. (следующий это руководство)

У меня проблемы с настройкой SSL на Kibana через 5601. Сначала я сгенерировал ключ, а затем я создал CSR и отправил его в центр сертификации. Я получил сертификат и имею два доступных сертификата. Кодировка Base 64 и кодировка Base 64 с цепочкой сертификатов CA в формате pkcs7.

Я получил оба, поместил Base64 в файл mycert.cer, поместил pcks7 в файл mycert.p7b. Преобразовал pcks7 в pem с

openssl pkcs7 -print_certs -in /etc/kibana/certs/mycert.p7b -out /etc/kibana/certs/mycert.pem

Я поместил / убедился, что .key, .cer и .pem находятся в папке / etc / kibana / cert, и сменил владельца: group на kibana.

в kibana.yml я положил

server.ssl.enabled: true 
server.ssl.certificate:/etc/kibana/certs/mycert.cer
server.ssl.key: /etc/kibana/certs/mycert.key 
elasticsearch.ssl.certificate: /etc/kibana/certs/mycert.pem

Первоначально я создал CSR с CN

myhost.mydomain.tld 

затем, после того, как это не удалось, я создал один с

https://myhost.mydomain.tld:5601

Когда я пытаюсь запустить Kibana, я получаю сообщение об ошибке:

digital envelope routines:EVP_DecryptFinal_ex:bad decrypt

Пытаясь найти этот предмет, я вижу, что это может быть вызвано несовместимыми версиями OpenSSL, но я нахожусь в той же системе, поэтому это кажется маловероятным.

--update - Чтобы добавить к этому, я только что создал самозаверяющий сертификат & ca, который запустил Kibana прямо сейчас, и он доступен. Заставляет меня поверить, что проблема в цепочке сертификатов, подписанных CA.

так что я решил это. Я считаю, что ошибка заключалась в том, что у меня неправильно установлен -ext.

Я воссоздал Ключ и CSR (мой CA должен любить меня) строго следуя этому

keytool -genkey                  \
        -alias     node01        \ 
        -keystore  node01.jks    \ 
        -keyalg    RSA           \
        -keysize   2048          \
        -validity  712           \
        -ext san=dns:node01.example.com,ip:192.168.1.1 

потом КСО с этим.

keytool -certreq                   \
        -alias      node01         \ 
        -keystore   node01.jks     \
        -file       node01.csr     \
        -keyalg     rsa            \
        -ext san=dns:node01.example.com,ip:192.168.1.1 

На этот раз я убедился, что использовал параметр -ext (в документации говорится, что это необязательно), и убедился, что псевдоним и расширение были точными. Я не использовал хранилище ключей, а просто установил его локально.

Затем я сохранил ключ, сертификат base64 и версию PKCS7 локально - преобразовал PKCS7 в PEM и настроил мою Kibana на поиск crt, ключа и pem.