FAQ SSL

1.L'utilisation étendue de la clé doit permettre à la fois l'authentification du client TLS et du serveur TLS.

2.Le certificat et la chaîne CA sont requis, car NetBrain nécessite un certificat de chaîne complète.

3.Seulement le X.64 codé en base 509 (.CER) format est pris en charge.

4.La clé privée ne peut pas être cryptée par mot de passe et doit être dans le pkcs8 le format.

Utiliser un vi éditeur sous Linux ou Notepad ++ sous Windows pour ouvrir votre fichier de clé privée et assurez-vous qu'il ressemble exactement à ceci :

-----COMMENCER LA CLÉ PRIVÉE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----FIN CLÉ PRIVÉE-----

Si vous voyez quelque chose comme :

-----COMMENCER LA CLÉ PRIVÉE-----
Type de processus : 4, CRYPTÉ
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----FIN CLÉ PRIVÉE-----

Cela signifie que cette clé est chiffrée et doit d'abord être déchiffrée.

openssl rsa -in ABCCompany.key -out ABCCompany.key.unencrypted

Par exemple, si votre entreprise a une autorité de certification racine et une autorité de certification intermédiaire, cela signifie que la chaîne de certification de niveau 3 est utilisée.

Vous devez vous assurer qu'il y a 1 cert.pem filet1 intermédiaire-ca.pem filet 1 racine-ca.pem filet. Chacun d'eux devrait ressembler à :

-----COMMENCER LE CERTIFICAT-----
xxxxxxxxxxxxxxx
-----CERTIFICAT DE FIN-----

Vous devez également consolider/fusionner tous les fichiers CA distincts dans un chaîne-ca.pem dossier. Pour ce faire, copiez et collez le CERTIFICAT DE DÉBUT – CERTIFICAT DE FIN section dans un seul fichier à l'aide de Notepad ++ ou de l'éditeur VI.

Le final chaîne-ca.pem le fichier ressemble à:

-----COMMENCER LE CERTIFICAT-----
xxxxxxxxxxxxxxx
//contenu du fichier ca intermédiaire
xxxxxxxxxxxxxxx
-----CERTIFICAT DE FIN-----
-----COMMENCER LE CERTIFICAT-----
xxxxxxxxxxxxxxx
//contenu du fichier racine ca
xxxxxxxxxxxxxxx
-----CERTIFICAT DE FIN-----

▪Le moyen le plus simple consiste à installer Elasticsearch avec SSL activé.
Généralement, si Elasticsearch peut être installé avec succès avec SSL activé, votre chaîne de certificats doit pouvoir répondre aux exigences de tous les autres NetBrain composants.

Remarque : HTTPS, qui peut être activé sur IIS de Web Server, n'est pas couvert ici.

▪Une autre méthode consiste à vérifier en exécutant la commande suivante sur un serveur Linux :
openssl vérifier -verbose -CAfile Chemin de certification CApath

Remarque : Cette commande ne peut pas assurer l'installation sur NetBrain aura du succès.

[root@localhost pki-scripts]# openssl verify -verbose -CAfile ./ca/chain-ca.pem node.pem
noeud.pem : OK
[root@localhost pki-scripts]# 

Le format de certificat le plus courant est ".PFX", qui comprend généralement des clés privées et des certificats au format X.509.

Utilisez la commande suivante pour convertir un fichier PFX, par exemple, pkcs12, dans celui qui NetBrain les soutiens:

openssl pkcs12 –in ABCCompany.pfx -out netbrain.pem – nœuds

Au cours de ce processus de conversion, il peut vous être demandé de saisir la phrase secrète du fichier PFX. Consultez votre administrateur réseau pour plus de détails.

La meilleure façon de vérifier votre chaîne de certificats est d'installer d'abord Elasticsearch.

Si l'installation a échoué, vérifiez le elastic-search-cluster.log fichier sous le répertoire d'installation d'Elasticsearch pour voir s'il y a une erreur.

Généralement, une erreur peut être causée par :

▪format de certificat ou de clé privée incorrect

▪Le client TLS à utilisation étendue de la clé n'autorise pas l'authentification du client.

Dans ces deux cas, contactez votre gestionnaire de serveur CA ou le personnel informatique pour régénérer la chaîne de certificats et le fichier de clé privée requis.

Remarque : Essayez la nouvelle chaîne de certificats et le fichier de clé pour vous assurer que elastic-search-cluster.log le fichier ne génère plus les mêmes journaux d'erreurs.