3

我正在尝试使用 logstash-forwarder 连接到 logstash。他们的通信基于 ssl,所以我生成了一个自签名证书。然后我在 logstash-forwarder 端收到此错误消息:

与 9.21.61.19 x509 握手失败:证书由未知权威签署(可能是因为“x509:无效签名:父证书无法签署这种证书”,同时尝试验证候选权威证书“*.*.*.*. *")

如果我生成没有主题替代名称的证书,它将起作用。工作证书可以通过以下方式生成:

openssl req -x509 -batch -nodes -newkey rsa:2048 -keyout lumberjack.key -out lumberjack.crt -subj /CN=*.*.*.*.*

但我希望做的是生成一个可以在不同类型的主机中使用的证书。为此,我想生成一个 CN=*.*.*.*.* 的 ssl 证书,然后 alt 名称包括 *、*.*、*.*.* 等。

关于如何克服这个 ssl 错误有什么建议吗?还是让logstash-forwarder可以在各种环境中工作的更好方法?

4

2 回答 2

1

原来,当我删除

keyUsage = 数字签名,keyEncipherment

指南[ v3_ca ]中提出的要求中,生成的证书确实适用于各种主机名。

这可能不是 SSL 的正确方案。但是对于 logstash/logstash-forwarder 的情况,它确实有帮助。

于 2015-08-26T01:56:51.307 回答
1

您是否在“ssl ca”logstash-forwarder.conf 中提到了 pem 文件?您必须提到用于在 conf 中签署证书的 pem 文件。

于 2015-08-27T20:38:55.780 回答