Installation d'un certificat SSL sur l' eLog
Lorsque HTTPS est utilisé pour se connecter à l'eLog, il y a un problème de certificat de sécurité. Pour résoudre ce problème, vous devez demander à une autorité de certification de générer un fichier de certificat de sécurité pour l'eLog et d'importer le certificat dans l'eLog.
Procédure
Utilisez le compte omm pour vous connecter au système d'exploitation.
Générez un fichier de bibliothèque de certificats.
Sur la CLI du serveur, exécutez la commande cd /opt/huawei/LogCenter/components/vap/jre/bin pour accéder au chemin où réside l' outil keytool de l' outil de génération de certificat . Les mots italiques de la commande doivent être remplacés par le chemin d'installation réel du logiciel.
Exécutez la commande ./keytool -genkey -alias elog -keyalg RSA -keystore elogkeystore pour créer un fichier de bibliothèque de certificats. L'alias et le nom du fichier de clés peuvent être modifiés selon les besoins.
Définissez le mot de passe du fichier de clés en fonction des invites.
Entrez le prénom et le nom en fonction des invites.
Saisissez les noms de l'organisation, de la ville et de la province en fonction des invites. Entrez le code du pays.
Le système génère des informations de confirmation en fonction de l'entrée. Si les informations sont correctes, entrez y et appuyez sur Enter .
Définissez un mot de passe principal pour le fichier de bibliothèque de certificats en fonction des invites.
omm@eLogServer:/opt/huawei/LogCenter/components/vap/jre/bin> cd /opt/huawei/LogCenter/components/vap/jre/bin omm@eLogServer:/opt/huawei/LogCenter/components/vap/jre/bin> ./keytool -genkey -alias elog -keyalg RSA -keystore elogkeystoreEnter keystore password: Re-enter new password: What is your first and last name? [Unknown]: test What is the name of your organizational unit? [Unknown]: test What is the name of your organization? [Unknown]: test What is the name of your City or Locality? [Unknown]: beijing What is the name of your State or Province? [Unknown]: beijing What is the two-letter country code for this unit? [Unknown]: CN Is CN=test, OU=test, O=test, L=beijing, ST=beijing, C=CN correct? [no]: yes Enter key password for <elog> (RETURN if same as keystore password): Re-enter new password: Warning: The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore elogkeystore -destkeystore elogkeystore -deststoretype pkcs12".
Exportez le fichier de demande CSR et utilisez ce fichier pour obtenir le certificat racine et le certificat de réponse d'autorisation.
Accédez au répertoire où réside keytool et exécutez la commande ./keytool -certreq -keyalg RSA -alias elog -file dic5.csr -keystore elogkeystore pour générer le fichier de requête.
omm@eLogServer:/opt/huawei/LogCenter/components/vap/jre/bin> ./keytool -certreq -keyalg RSA -alias elog -file dic5.csr -keystore elogkeystore Enter keystore password: Enter key password for <elog> Warning: The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore elogkeystore -destkeystore elogkeystore -deststoretype pkcs12".
Obtenez le fichier de demande dic5.csr à partir de /opt/huawei/LogCenter/components/vap/jre/bin et envoyez le fichier de demande à une autorité de certification pour générer des fichiers de certificat sécurisés et fiables. Le certificat racine et le certificat de réponse d'autorisation doivent être envoyés en réponse.
Importez le certificat racine.
Accédez au répertoire où réside keytool et exécutez la commande ./keytool -import -alias root -keystore elogkeystore -trustcacerts -file rootcert.cer . Dans la commande, root est l'alias du certificat racine et peut être modifié selon les besoins; elogkeystore est le nom du fichier de bibliothèque de certificats généré à l'étape précédente; rootcert.cer est le nom du fichier de certificat racine généré par l'autorité.
Entrez le mot de passe du fichier de clés comme invites et appuyez sur Enter. Les informations du certificat s'affichent.
Si les informations du certificat sont correctes, entrez y et appuyez sur Enter. Un message s'affiche, indiquant que les informations de certificat ont été ajoutées au fichier de bibliothèque de certificats.
Importez le certificat de réponse d'autorisation.
Accédez au répertoire où réside keytool et exécutez la commande ./keytool -import -alias elog -keystore elogkeystore -file dic5.cer . elog est le nom du fichier de requête; elogkeystore est le nom du fichier de bibliothèque de certificats; dic5.cer est le nom du fichier de certificat de réponse d'autorisation.
Entrez le mot de passe du fichier de clés comme invites et appuyez sur Enter. Un message s'affiche, indiquant que le certificat a été installé.
Remplacez le certificat d'origine.
Choisissez Système>Configuration globale>Gestion des certificats>Certificat local à la page eLog.
Sur la page Importation de certificat , cliquez sur Parcourir , sélectionnez le chemin du certificat et entrez le mot de passe du fichier de certificat.
Cliquez sur OK .
Mettez à jour le certificat sur chaque collecteur.
REMARQUE:
Dans le déploiement centralisé, vous devez également mettre à jour le certificat sur le serveur sur lequel se trouvent l'analyseur et le collecteur.
Connectez-vous au système d'exploitation du collecteur en tant qu'utilisateur omm.
Exécutez la commande cd /opt/huawei/LogCenter/components/collector/setup/bin pour accéder au répertoire où réside l'outil de mise à jour.
Exécutez la commande ./exportsslcertsfromjks.sh yourpassword pour mettre à jour le certificat de collecteur. yourpassword indique le mot de passe du fichier JKS du certificat de serveur.
omm@eLogServer:/root> cd /opt/huawei/LogCenter/components/collector/setup/bin omm@eLogServer:/opt/huawei/LogCenter/components/collector/setup/bin> ./exportsslcertsfromjks.sh test@123 begin generate ssl key from jks Warning: The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -destkeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -deststoretype pkcs12". KEYSTORE_ALIAS=cis_default Warning: The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -destkeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -deststoretype pkcs12". Generating new PFX Key/Certificate pair spawn openssl pkcs12 -inkey /opt/huawei/LogCenter/etc/cert/temp/ssltemp.key -in /opt/huawei/LogCenter/etc/cert/temp/ssltemp.crt -out /opt/huawei/LogCenter/etc/cert/temp/ssltemp.pfx -export Enter Export Password: Verifying - Enter Export Password: spawn openssl pkcs12 -in /opt/huawei/LogCenter/etc/cert/temp/ssltemp.pfx -nocerts -nodes -out /opt/huawei/LogCenter/etc/cert/temp/ssl.key -aes256 Enter Import Password: MAC verified OK Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ssl key generate success. end generate ssl key from jks begin generate ssl certs from jks Warning: The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -destkeystore /opt/huawei/LogCenter/etc/cert/formal/serverStore.jks -deststoretype pkcs12". end generate ssl certs from jks
Redémarrez l'analyseur et les collecteurs eLog.
Copiez le fichier de certificat racine sur le serveur client utilisé pour accéder à l'eLog et double-cliquez sur le fichier pour l'installation. Vous pouvez également utiliser un navigateur sur le serveur client pour accéder à l'eLog et installer le certificat sur le serveur client conformément à Que dois-je faire pour empêcher l'affichage du message «Erreur de certificat» lorsque j'utilise HTTPS pour me connecter à l'eLog? .
Résultat
Après avoir importé le certificat, utilisez le navigateur pour accéder à l'eLog. Si aucun message d'erreur de certificat ne s'affiche, la configuration réussit.