j'ai compris

eLog: Installation d'un certificat SSL sur l' eLog

publié il y a  2021-2-28 20:44:22 158 0 0 0 0

Installation d'un certificat SSL sur l' eLog

Lorsque HTTPS est utilisé pour se connecter à l'eLog, il y a un problème de certificat de sécurité. Pour résoudre ce problème, vous devez demander à une autorité de certification de générer un fichier de certificat de sécurité pour l'eLog et d'importer le certificat dans l'eLog.

Procédure

  1. Utilisez le compte omm pour vous connecter au système d'exploitation.

  2. Générez un fichier de bibliothèque de certificats.



    1. Sur la CLI du serveur, exécutez la commande cd /opt/huawei/LogCenter/components/vap/jre/bin pour accéder au chemin où réside l' outil keytool de l' outil de génération de certificat Les mots italiques de la commande doivent être remplacés par le chemin d'installation réel du logiciel.

    2. Exécutez la commande ./keytool -genkey -alias elog -keyalg RSA -keystore elogkeystore pour créer un fichier de bibliothèque de certificats. L'alias et le nom du fichier de clés peuvent être modifiés selon les besoins.

    3. Définissez le mot de passe du fichier de clés en fonction des invites.

    4. Entrez le prénom et le nom en fonction des invites.

    5. Saisissez les noms de l'organisation, de la ville et de la province en fonction des invites. Entrez le code du pays.

    6. Le système génère des informations de confirmation en fonction de l'entrée. Si les informations sont correctes, entrez y et appuyez sur Enter .

    7. Définissez un mot de passe principal pour le fichier de bibliothèque de certificats en fonction des invites.

      omm@eLogServer:/opt/huawei/LogCenter/components/vap/jre/bin> cd /opt/huawei/LogCenter/components/vap/jre/bin
      omm@eLogServer:/opt/huawei/LogCenter/components/vap/jre/bin> ./keytool -genkey -alias elog -keyalg RSA -keystore elogkeystoreEnter keystore password:
      Re-enter new password:
      What is your first and last name?
        [Unknown]:  test
      What is the name of your organizational unit?
        [Unknown]:  test
      What is the name of your organization?
        [Unknown]:  test
      What is the name of your City or Locality?
        [Unknown]:  beijing
      What is the name of your State or Province?
        [Unknown]:  beijing
      What is the two-letter country code for this unit?
        [Unknown]:  CN
      Is CN=test, OU=test, O=test, L=beijing, ST=beijing, C=CN correct?
        [no]:  yes
      
      Enter key password for <elog>
              (RETURN if same as keystore password):
      Re-enter new password:
      
      Warning:
      The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore elogkeystore -destkeystore elogkeystore -deststoretype pkcs12".
  3. Exportez le fichier de demande CSR et utilisez ce fichier pour obtenir le certificat racine et le certificat de réponse d'autorisation.



    1. Accédez au répertoire où réside keytool et exécutez la commande ./keytool -certreq -keyalg RSA -alias elog -file dic5.csr -keystore elogkeystore pour générer le fichier de requête.

      omm@eLogServer:/opt/huawei/LogCenter/components/vap/jre/bin> ./keytool -certreq -keyalg RSA -alias elog -file dic5.csr -keystore elogkeystore
      Enter keystore password:
      Enter key password for <elog>
      
      Warning:
      The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore elogkeystore -destkeystore elogkeystore -deststoretype pkcs12".
    2. Obtenez le fichier de demande dic5.csr à partir de /opt/huawei/LogCenter/components/vap/jre/bin et envoyez le fichier de demande à une autorité de certification pour générer des fichiers de certificat sécurisés et fiables. Le certificat racine et le certificat de réponse d'autorisation doivent être envoyés en réponse.

  4. Importez le certificat racine.



    1. Accédez au répertoire où réside keytool et exécutez la commande ./keytool -import -alias root -keystore elogkeystore -trustcacerts -file rootcert.cer . Dans la commande, root est l'alias du certificat racine et peut être modifié selon les besoins; elogkeystore est le nom du fichier de bibliothèque de certificats généré à l'étape précédente; rootcert.cer est le nom du fichier de certificat racine généré par l'autorité.

    2. Entrez le mot de passe du fichier de clés comme invites et appuyez sur EnterLes informations du certificat s'affichent.

    3. Si les informations du certificat sont correctes, entrez y et appuyez sur EnterUn message s'affiche, indiquant que les informations de certificat ont été ajoutées au fichier de bibliothèque de certificats.

  5. Importez le certificat de réponse d'autorisation.



    1. Accédez au répertoire où réside keytool et exécutez la commande ./keytool -import -alias elog -keystore elogkeystore -file dic5.cer . elog est le nom du fichier de requête; elogkeystore est le nom du fichier de bibliothèque de certificats; dic5.cer est le nom du fichier de certificat de réponse d'autorisation.

    2. Entrez le mot de passe du fichier de clés comme invites et appuyez sur EnterUn message s'affiche, indiquant que le certificat a été installé.

  6. Remplacez le certificat d'origine.



    1. Choisissez Système>Configuration globale>Gestion des certificats>Certificat local à la page eLog.

    2. Sur la page Importation de certificat , cliquez sur Parcourir , sélectionnez le chemin du certificat et entrez le mot de passe du fichier de certificat.

      en-us_image_0137172340.png

    3. Cliquez sur OK .

  7. Mettez à jour le certificat sur chaque collecteur.


    icon-note.gif REMARQUE:

    Dans le déploiement centralisé, vous devez également mettre à jour le certificat sur le serveur sur lequel se trouvent l'analyseur et le collecteur.


    1. Connectez-vous au système d'exploitation du collecteur en tant qu'utilisateur omm.

    2. Exécutez la commande cd /opt/huawei/LogCenter/components/collector/setup/bin pour accéder au répertoire où réside l'outil de mise à jour.

    3. Exécutez la commande ./exportsslcertsfromjks.sh yourpassword pour mettre à jour le certificat de collecteur. yourpassword indique le mot de passe du fichier JKS du certificat de serveur.

      omm@eLogServer:/root> cd /opt/huawei/LogCenter/components/collector/setup/bin
      omm@eLogServer:/opt/huawei/LogCenter/components/collector/setup/bin> ./exportsslcertsfromjks.sh test@123
      begin generate ssl key from jks
      
      Warning:
      The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -destkeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -deststoretype pkcs12".
      KEYSTORE_ALIAS=cis_default
      
      Warning:
      The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -destkeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -deststoretype pkcs12".
      Generating new PFX Key/Certificate pair
      spawn openssl pkcs12 -inkey /opt/huawei/LogCenter/etc/cert/temp/ssltemp.key -in /opt/huawei/LogCenter/etc/cert/temp/ssltemp.crt -out /opt/huawei/LogCenter/etc/cert/temp/ssltemp.pfx -export
      Enter Export Password:
      Verifying - Enter Export Password:
      spawn openssl pkcs12 -in /opt/huawei/LogCenter/etc/cert/temp/ssltemp.pfx -nocerts -nodes -out /opt/huawei/LogCenter/etc/cert/temp/ssl.key -aes256
      Enter Import Password:
      MAC verified OK
      Enter PEM pass phrase:
      Verifying - Enter PEM pass phrase:
      ssl key generate success.
      end generate ssl key from jks
      begin generate ssl certs from jks
      
      Warning:
      The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -destkeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -deststoretype pkcs12".
      end generate ssl certs from jks
  8. Redémarrez l'analyseur et les collecteurs eLog.

  9. Copiez le fichier de certificat racine sur le serveur client utilisé pour accéder à l'eLog et double-cliquez sur le fichier pour l'installation. Vous pouvez également utiliser un navigateur sur le serveur client pour accéder à l'eLog et installer le certificat sur le serveur client conformément à Que dois-je faire pour empêcher l'affichage du message «Erreur de certificat» lorsque j'utilise HTTPS pour me connecter à l'eLog? .

Résultat

Après avoir importé le certificat, utilisez le navigateur pour accéder à l'eLog. Si aucun message d'erreur de certificat ne s'affiche, la configuration réussit.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.