Перейти к основному содержимому
Версия: 5.0

Добавление цепочки сертификатов CA инфраструктуры в сертификат CA компонентов Smart Monitor

Для корректной работы механизмов аутентификации и шифрования, а также обеспечения доверия между компонентами системы, необходимо добавить цепочку сертификатов CA инфраструктуры в существующий файл CA. Этот файл содержит список доверенных корневых и промежуточных сертификатов, которые используются для проверки подлинности узлов и компонентов.

Структура цепочки сертификатов CA:

  • Корневой сертификат CA – главный сертификат, который является источником доверия

  • Промежуточные сертификаты CA (если используются) – обеспечивают связь между корневым сертификатом и конечными сертификатами (Таких промежуточных сертификатов может быть несколько)

1. Сбор полной цепочки сертификатов

Запросите у администратора все необходимые сертификаты CA.

2. Формирование файла с цепочкой сертификатов

Объедините сертификаты в одном файле (boundle-ca.pem), расположив их в следующем порядке:

-----BEGIN CERTIFICATE-----
[Промежуточный CA]
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
[Корневой CA]
-----END CERTIFICATE-----

3. Обновление доверенных сертификатов в OpenSearch

Добавьте цепочку сертификатов в указанный в opensearch.yml файл (обычно ${OS_HOME}/config/ca-cert.pem):

cat boundle-ca.pem >> ${OS_HOME}/config/ca-cert.pem
openssl verify -CAfile ${OS_HOME}/config/ca-cert.pem ${OS_HOME}/config/node-cert.pem

4. Обновление доверенных сертификатов в OpenSearch Dashboards

Добавьте цепочку в файл, указанный в opensearch-dashboards.yml (обычно ${OSD_HOME}/config/ca-cert.pem):

cat cat boundle-ca.pem >> ${OSD_HOME}/config/ca-cert.pem 
openssl verify -CAfile ${OSD_HOME}/config/ca-cert.pem ${OSD_HOME}/config/node-cert.pem

5. Обновление доверенных сертификатов в Logstash

cat boundle-ca.pem >> ${LOGSTASH_HOME}/config/ca-cert.pem 
openssl verify -CAfile ${LOGSTASH_HOME}/config/ca-cert.pem ${LOGSTASH_HOME}/config/node-cert.pem

6. Обновление доверенных сертификатов в Smart Beat Manager

cat boundle-ca.pem >> ${SBM_HOME}/etc/ssl/ca-cert.pem
openssl verify -CAfile ${SBM_HOME}/etc/ssl/ca-cert.pem ${SBM_HOME}/etc/ssl/cert.pem

7. Обновление доверенных сертификатов в Smart Beat

cat boundle-ca.pem >> ${SB_HOME}/ca-cert.pem
openssl verify -CAfile ${SB_HOME}/ca-cert.pem ${SB_HOME}/cert.pem