【问题标题】:Keystore and truststore issue with elasticsearch and searchguard sslelasticsearch 和 searchguard ssl 的密钥库和信任库问题
【发布时间】:2019-03-17 18:06:44
【问题描述】:

在我问这个问题之前,让我先介绍一下背景,以便我们清楚问题本身。我们需要使用 searchguard ssl 来支持 Elasticsearch (v5.2.x) 的一种方式 SSL。我们有一个针对开发人员(非生产)的程序列表,负责生成自签名 SSL 证书。在这里,我们有一个根(本地创建)和实际的证书。如果我们导入密钥库(包含私钥和签名证书)和信任库(包含根证书),一切正常。

但几天前,我们收到了一位客户的请求。在那里,在生产中我们需要支持 SSL。因此,我们遵循以下步骤:

  1. 使用我们的脚本,我们生成了私钥,将其导入到密钥库中,还生成了 csr。

  2. 我们为客户提供了 csr。他得到了适当的 CA 签名,并把证书还给了我们。

  3. 对于给定的证书,现在信任链的长度为 3。所以,有一个根 CA,它签署了证书 (issuer1),它签署了证书 (issuer2),然后又签署了实际的 csr。

  4. 为了将实际证书导入密钥库,我们导入了所有三个父级,然后导入了实际证书。

  5. 然后我们从密钥库中删除了所有父证书。所以,现在密钥库只有私钥和实际证书。

  6. 我们将所有三个父证书导入到信任库中。

现在,如果我们启动 Elasticsearch,会抛出以下错误:[ERROR][c.f.s.s.t.SearchGuardSSLNettyTransport] [uyyIg3i] SSL Problem Received fatal alert: certificate_unknown javax.net.ssl.SSLException: Received fatal alert: certificate_unknown

有趣的是,如果我们只有根 ca,那么确切的程序可以工作,签署实际的 csr。感谢任何帮助找出这个问题的根本原因,因为我现在有点没有想法。

【问题讨论】:

    标签: java ssl elasticsearch keystore truststore


    【解决方案1】:

    经过几次令人厌烦的调试,我们发现 CN 名和实际主机名不同。使它们都相同后,我们就可以正常工作了。

    【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2015-09-05
    • 1970-01-01
    • 2010-09-24
    • 2018-11-11
    • 1970-01-01
    • 2018-05-06
    • 2011-08-17
    • 2015-12-02
    相关资源
    最近更新 更多