【发布时间】:2019-03-17 18:06:44
【问题描述】:
在我问这个问题之前,让我先介绍一下背景,以便我们清楚问题本身。我们需要使用 searchguard ssl 来支持 Elasticsearch (v5.2.x) 的一种方式 SSL。我们有一个针对开发人员(非生产)的程序列表,负责生成自签名 SSL 证书。在这里,我们有一个根(本地创建)和实际的证书。如果我们导入密钥库(包含私钥和签名证书)和信任库(包含根证书),一切正常。
但几天前,我们收到了一位客户的请求。在那里,在生产中我们需要支持 SSL。因此,我们遵循以下步骤:
使用我们的脚本,我们生成了私钥,将其导入到密钥库中,还生成了 csr。
我们为客户提供了 csr。他得到了适当的 CA 签名,并把证书还给了我们。
对于给定的证书,现在信任链的长度为 3。所以,有一个根 CA,它签署了证书 (issuer1),它签署了证书 (issuer2),然后又签署了实际的 csr。
为了将实际证书导入密钥库,我们导入了所有三个父级,然后导入了实际证书。
然后我们从密钥库中删除了所有父证书。所以,现在密钥库只有私钥和实际证书。
我们将所有三个父证书导入到信任库中。
现在,如果我们启动 Elasticsearch,会抛出以下错误:[ERROR][c.f.s.s.t.SearchGuardSSLNettyTransport] [uyyIg3i] SSL Problem Received fatal alert: certificate_unknown
javax.net.ssl.SSLException: Received fatal alert: certificate_unknown
有趣的是,如果我们只有根 ca,那么确切的程序可以工作,签署实际的 csr。感谢任何帮助找出这个问题的根本原因,因为我现在有点没有想法。
【问题讨论】:
标签: java ssl elasticsearch keystore truststore