logstash-forwarder gagal tls handshake tidak dapat memvalidasi cert karena tidak mengandung IP SANS

3

Saya memiliki server logstash / elastic search / kibana di ubuntu 14.x 64bit.

Saya memiliki beberapa server lain dengan spesifikasi yang sama menggunakan logstash-forwarder, dan semuanya berfungsi seperti yang diharapkan.

Namun, ketika saya menyiapkan server 32bit centos 6, dengan konfigurasi seperti:

tautan ke contoh konfigurasi

Saya mendapatkan kesalahan berikut:

Failed to tls handshake with x.x.x.x x509: cannot validate certificate for x.x.x.x because it doesn't contain any IP SANs

Jika saya mengubah konfigurasi itu, dan memasukkan DNS, bukan ip, saya mendapatkan kesalahan berikut:

Failed to tls handshake with x.x.x.x x509: certificate is valid for , not my-dns.com

bimbingan apa pun sangat dihargai ..

** PEMBARUAN: Tampaknya ini tidak terjadi pada sistem 64bit di mana saya dapat menginstal rpm logstash-forwarder. Jadi masalahnya mungkin dalam versi 32bit yang saya unduh dan kompilasi dengan go.

felbus
sumber

Jawaban:

6

Saya memperbaikinya dengan menghasilkan sertifikat baru tanpa parameter -batch. Ini berarti sertifikat meminta "nama umum" ketika membuatnya.

Saya menempatkan dns server logstash sebagai nama umum, menggantikan sertifikat lama dengan yang baru, dan itu berhasil. Ini adalah perintah yang saya gunakan untuk membuat sertifikat baru:

openssl req -x509 -nodes -newkey rsa:2048 -keyout logstash-forwarder.key -out logstash-forwarder.crt
felbus
sumber
Jangan lupa untuk me-restart layanan logstash setelah Anda mengganti cert, dan untuk menyalin cert baru ke klien, dan restart forward logstash mereka juga.
zymhan