【发布时间】:2018-10-31 16:26:37
【问题描述】:
1) http 和 no-dns(工作)
我在 http 上使用 nifi,它运行良好。当时我是通过 ip 或服务器名称本身访问它。一切正常。
2) https(自签名)和 no-dns(工作)
我使用工具包进行了 https 设置,它工作正常,尽管 chrome 一直显示红色消息。这是意料之中的。但至少事情奏效了。
3) dns(内部)+ 签名证书(外部权威机构 (Symantec))
dns 工作正常,因为我可以使用 dns ping 盒子。我也将此 dns 添加到 etc 主机文件中。
即使 nifi 是 org 内部的,我还是去买了一个证书。我使用的 CNAME 是我的服务器的 dns 名称。
我得到的证书是一个链式证书
my_dns_>TrustedSecureCertificateAuthority5>USERTrustRSAAddTrustCA>AddTrustExternalCARoot
我创建了一个 JKS,并将它们全部添加到其中,还向 JKS 添加了一个 key_pair,我也将所有证书附加到了 key_pair。
然后我更改了 nifi.properties 并使用相同的 jks 作为信任库和密钥库。
现在,如果我将 nifi 与新的 dns 和 https 一起使用,我会在 Chrome 上获得“ERR_SSL_VERSION_OR_CIPHER_MISMATCH”(附加图像)。在 IE 上,我收到 TLS 错误。所以我认为证书或浏览器都没有问题。
如果我将 url 指定为(见图)https://server_name:9447/nifi,则 nifi 会打开..但仍会显示红色警告,但这一次不是针对自签名证书,而是针对名称不匹配。这确认了 nifi 网络服务器可以访问我的新 jks,并且它也读取了它......但是为什么它不工作?
我在这里错过了什么? nifi 可以在外部购买的证书上运行吗?还是必须使用自签名证书?
如果您使用外部认证证书运行 nifi,请分享您的配置。
我还需要使用工具包吗?或工具包做同样的事情,我通过购买证书做了什么?如果是真的,我在这里错过了什么?
【问题讨论】:
-
只是为了确认一下,证书公用名、nifi.properties nifi.web.https.host 值和您输入的浏览器 URL 都使用相同的域名?他们都是“dev.nifi.X”?
-
是的,它们是一样的。
-
NiFi nifi-app.log 中是否有针对此错误的堆栈跟踪?
标签: apache-nifi