Перейти к основному содержимому
Версия: 5.0

Добавление цепочки сертификатов CA инфраструктуры в truststore (JKS)

Для работы компонентов на Java (таких как OpenSearch, Logstash) необходимо добавить цепочку сертификатов CA инфраструктуры в truststore, который представляет собой хранилище доверенных сертификатов в формате JKS.

Проверка конфигурации OpenSearch

Убедитесь, что параметр plugins.security.ssl.transport.truststore_filepath в ${OS_HOME}/config/opensearch.yml указывает на обновленный truststore. Проверьте, где расположен truststore, чтобы подготовить его к обновлению.

Проверка содержимого truststore в OpenSearch

Для проверки содержимого файла truststore выполните команду:

JAVA_HOME=${OS_HOME}/jdk/ ${OS_HOME}/jdk/bin/keytool -list -keystore <PATH_TO_TRUSTSTORE>

Проверка имени файла:

JAVA_HOME=${OS_HOME}/jdk/ ${OS_HOME}/jdk/bin/keytool -list -keystore <PATH_TO_TRUSTSTORE> -v

Импорт сертификатов инфраструктуры в truststore:

Для добавления сертификата центра сертификации выполните команду:

JAVA_HOME=${OS_HOME}/jdk/ ${OS_HOME}/jdk/bin/keytool -importcert -alias new-root-ca -file root-ca.pem -keystore

Если имеются промежуточные центры сертификации, то следует добавить их тоже:

JAVA_HOME=${OS_HOME}/jdk/ ${OS_HOME}/jdk/bin/keytool -importcert -alias new-intermediate-ca -file intermediate-ca.pem -keystore <PATH_TO_TRUSTSTORE>

Проверка содержимого truststore в Logstash

Проверьте все пайплайны в блоках input и output на использование truststore хранилищ сертификатов в статье Проверка input и output плагинов Logstash. При наличии — содержимое truststore можно просмотреть с помощью следующей команды:

JAVA_HOME=${LOGSTASH_HOME}/jdk/ ${LOGSTASH_HOME}/jdk/bin/keytool -list -keystore <PATH_TO_TRUSTSTORE>

Проверка имени файла:

JAVA_HOME=${LOGSTASH_HOME}/jdk/ ${LOGSTASH_HOME}/jdk/bin/keytool -list -keystore <PATH_TO_TRUSTSTORE> -v

Импорт сертификатов в truststore Logstash:

Для добавления сертификата центра сертификации выполните команду:

JAVA_HOME=${LOGSTASH_HOME}/jdk/ ${LOGSTASH_HOME}/jdk/bin/keytool -importcert -alias new-root-ca -file root-ca.pem -keystore <PATH_TO_TRUSTSTORE>

Если имеются промежуточные центры сертификации, то следует добавить их тоже:

JAVA_HOME=${LOGSTASH_HOME}/jdk/ ${LOGSTASH_HOME}/jdk/bin/keytool -importcert -alias new-intermediate-ca -file intermediate-ca.pem -keystore

После выполнения всех шагов цепочка сертификатов будет корректно добавлена во все необходимые компоненты системы.