【rsyslog系列】Rsyslog TLS证书制作

最新推荐文章于 2024-09-02 20:17:06 发布
最新推荐文章于 2024-09-02 20:17:06 发布
阅读量1.4k 收藏 6
点赞数 6
分类专栏: opentools 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54954007/article/details/134351321
版权

前言

rsyslog版本从v5升级到v8(v8.2110.0)版本时,由于openssl版本有较大的更新,原有接口已删除,但rsyslog源码依旧依赖于openssl原有接口,导致rsyslog无法依赖于新版openssl加密,因此,依据rsyslog官网介绍,采用certtool工具制作证书。
官网链接如下:https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_summary.html
CA证书链接如下:https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_ca.html
双向证书如下:https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_machine.html

一、证书制作流程

1. 安装certtool工具

Centos: yum install -y gnutls-utils
Ubuntu: apt-get install gnutls-bin gnutls-doc

2. 制作CA证书

2.1 certtool --generate-privkey --outfile ca-key.pem --bits 2048

在这里插入图片描述

2.2 certtool --generate-self-signed --load-privkey ca-key.pem --outfile ca.pem

在这里插入图片描述
以上划线处为需要填写的配置项。
配置完之后,核对配置,尤其是证书有效期问题。
在这里插入图片描述
生成的ca.pem就是根证书。

3. 制作客户端证书与私钥

客户端证书是在日志发送端使用的证书,其中涉及的IP地址为日志发送端IPv4地址。

创建文件夹client,用于存放证书。

mkdir client

3.1 certtool --generate-provkey --outfile ./client/key.pem --bits 2048

在这里插入图片描述

3.2 certtool --generate-request --load-privkey ./client/key.pem --outfile ./client/request.pem

在这里插入图片描述
以上划线处为需要填写的配置项。

3.3 certtool --generate-certificate --load-request ./client/request.pem --outfile ./client/cert.pem --load-ca-certificate ca.pem --load-ca-privkey ca-key.pem

在这里插入图片描述
以上划线处为需要填写的配置项。
配置完之后,核对配置,尤其是CN是否为日志发送端IPv4地址、证书有效期问题。
在这里插入图片描述
文件夹client中生成的cert.pem就是客户端的本地证书,key.pem就是客户端的密钥。

4. 制作服务端证书与私钥

服务端证书是在日志接收端使用的证书,其中涉及的IP地址为日志接收端IPv4地址。

创建文件夹server,用于存放证书。

mkdir server

3.1 certtool --generate-provkey --outfile ./server/key.pem --bits 2048

在这里插入图片描述

3.2 certtool --generate-request --load-privkey ./server/key.pem --outfile ./server/request.pem

在这里插入图片描述以上划线处为需要填写的配置项。

3.3 certtool --generate-certificate --load-request ./server/request.pem --outfile ./server/cert.pem --load-ca-certificate ca.pem --load-ca-privkey ca-key.pem

在这里插入图片描述
以上划线处为需要填写的配置项。
配置完之后,核对配置,尤其是CN是否为日志发送端IPv4地址、证书有效期问题。
在这里插入图片描述
文件夹server中生成的cert.pem就是服务端的本地证书,key.pem就是服务端的密钥。

二、 常见问题定位

1. 证书路径问题

现象:
证书文件与conf文件配置正确(例如放置在/home/certtool目录),但重启rsyslog进程之后,查询rsyslog状态,显示cacert.pem证书不存在
在这里插入图片描述
解决方式:
将证书路径重新上传到/var/log/文件夹下,保证rsyslog有权限获取。
在这里插入图片描述

2. 未关闭防火墙

现象:
日志接收服务器tail -f /var/log/messages无报错打印,但日志发送端journalctl -f | grep syslog报错
在这里插入图片描述
解决方式:
关闭日志接收服务器的防火墙

systemctl stop firewalld

3. 证书有效期问题

现象: 日志接收端报错“unexpected Gnutls error -110 in nsd_gtls.c:536: The TLS connection was non-properly terminated”,且日志发送端报错“invalid cert info: peer provided 1certificates.Certificate1 info”。
日志服务接收端:
在这里插入图片描述
日志发送端:
在这里插入图片描述
问题原因:
日志发送端系统时间不在证书的有效期内。
解决方式:
使用date -s "2022-04-16 20:20:30"修改日志发送端系统时间 或 重新制作证书。

TLS初探(3)证书生成
jjxojm的专栏
07-30 1948
      上一节讲了各种证书的格式,在此基础上本次来探究一下证书的生成。本次使用openssl进行相应的证书管理,具体openssl的安装说明等基本知识就不在此赘述。        此次主要流程就是先生成一个自签名根证书,然后利用自签名根证书去签发一个服务器证书,具体步骤如下: 1.  生成根证书之前,首先需要进行私钥生成(以RSA为例) openssl genrsa -out ca.k...
TLS 协议与 TLS 证书的生成、配置
巡山小妖008
12-22 3839
这里不详细说明 TLS 协议的内容,请另行查阅文档 画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成、签名过程,同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。 TLS 协议 我们需要加密网络数据以实现安全通信,但是有一个现实的问题: 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算...
Rsyslog 8.1901.0 配置Tls模式加密传输log
qq_34399969的博客
12-18 1903
Rsyslog 8.1901.0 配置Tls模式
TLS原理及证书生成
zhypss的博客
06-10 3518
1、生成RSA密钥 > openssl genrsa -des3 -out mykey.pem 2048 或者: > openssl genrsa -out mykey.pem 2048 建议用2048位密钥,少于此可能会不安全或很快将不安全。 2、生成证书请求 > openssl req -new -key mykey.pem -out cert.csr cert.csr即一个证书请求文件,可以拿着这个文件去数字证书颁发机构(CA)申请数字证书。CA会给一个新的文件cacer
rsyslog-tls.zip
12-01
本文档描述了一个设置rsyslog TLS的安全方法。一个安全日志环境需要的不仅仅是加密传输通道。本文档提供了一个可能的方法来创建这样的一个安全系统。
tls/ssl证书生成和格式转换
weixin_30539625的博客
05-01 387
tls/ssl证书生成和格式转换 生成密钥:openssl genrsa -out privkey.pem 2048 生成csr申请文件:openssl req -sha256 -new -key privkey.pem-out pubkey.pem 生成自签名证书:openssl x509 -req -days 365 -in my.c...
TLS证书生成-openssl基本命令
qq_42288975的博客
09-02 971
其中,Let’s Encrypt是一个提供域名验证SSL证书的开源CA,而其他机构则提供更广泛的证书服务,包括不同验证级别的证书。哈希链接的文件名通常是证书文件名的哈希值,链接指向实际的证书文件。CA证书证书颁发机构(Certificate Authority)颁发的证书,用于在互联网通信中建立信任关系,是SSL/TLS协议实施中不可或缺的一部分,使得传输的数据加密并保证通信安全。可以通过capath方式,按需装载校验对端所需的CA证书,指定证书路径,openssl就可以通过路径查找能够使用的证书
rsyslog系列rsyslog远程接收日志服务器配置文件之TLS单向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议单向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog系列rsyslog远程接收日志服务器配置文件之TLS双向认证
11-17
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议双向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
rsyslog服务器端配置TLS双向认证
最新发布
05-22
### rsyslog 服务器端配置文件中的 TLS 双向认证 要在 rsyslog 服务器端实现 TLS 双向认证,需确保服务器能够接收来自客户端的加密日志消息,并验证客户端的身份。以下是详细的配置方法。 --- #### 1. 启用模块 ...
rsyslog TLS安全配置方法及其实现
5. 安全最佳实践:除了配置TLS之外,还应考虑使用防火墙来限制对rsyslog端口的访问,限制证书的访问权限,以及定期更新证书和密钥。 通过上述步骤,可以构建一个使用TLS加密传输日志的安全rsyslog系统,从而为系统...
tls-gen:生成对开发有用的自签名x509TLSSSL证书
04-29
TLS / SSL证书生成器 tls-gen是基于OpenSSL的工具,可生成用于开发和QA环境的自签名证书。 该项目最初是从许多测试套件中提取的。 它能做什么 tls-gen生成一个自签名的证书颁发机构(CA)证书以及两对或更多对密钥:客户端和服务器,所有这些均使用单个命令。 它支持多个配置文件,这些配置文件生成不同长度和“形状”的证书链。 私钥可以使用RSA以及生成。 先决条件 tls-gen要求 openssl PATH Python 3.5或更高版本(作为python3 (不支持旧版本) make 用法 证书颁发机构(CA)和证书可以形成链。 tls-gen提供了几个“配置文件”,它们可以生成不同种类的证书链: :具有签名的叶子证书/密钥对的根CA :具有多个共享中介证书和由中介签名的叶对的根CA :具有两个中间证书(一个用于服务器,一个用于客户端)和由中间人
生成SSL/TLS 自签名证书
青鸟飞鱼
08-30 2199
可通过以下两种方式获取相关 SSL/TLS 证书:自签名证书:即使用自己签发的证书,由于自签名证书存在较多的安全隐患,因此只建议用于测试验证环境。申请或购买证书:您可以向 Let’s Encrypt (opens new window)或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window)等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
SSL/TLS加密证书生成(二)
zmb419的博客
12-24 430
client为beats(Elastic组件)的server和client证书生成 以filebeat配置为例,其他的bests类似  1.配置openssl 在生成证书的主机配置 编辑/etc/pki/tls/openssl.cnf 找到[ v3_ca ] 在底下添加 subjectAltName = IP:your_ip  即可 subjectAltName = IP:192.1...
如何为服务器生成一个TLS证书
a1546464545454的博客
08-09 1313
要生成 TLS 1.3 的证书,可以使用 OpenSSL 工具,它是一个广泛使用的开源工具,能够生成和管理 SSL/TLS 证书。以下是生成自签名 TLS 1.3 证书的详细步骤。
syslog的安全性配置和认证机制
互联网知识分享
12-12 1840
在上面的代码案例中,我们使用了syslog-ng作为示例,通过配置destination来指定日志的传输目的地,在这个例子中,我们使用了network模块来指定日志传输的目标IP地址和传输方式为TLS。在上面的代码案例中,我们配置了source来指定日志的来源,使用file模块来指定日志文件的路径,并通过program-override指定了日志的程序标识为sshd。在上面的代码案例中,我们配置了一个日志记录的log,来指定日志的来源和存储的目的地。这样可以将所有的日志信息进行审计和存储。
SSL/TLS 介绍以及如何利用openssl生成证书
m0_58085501的博客
02-28 3543
TLS:Transport layer Security 传输层安全性,是一种加密协议。本文比较详细的介绍了TLS的基本工作流程。
SSL/TLS协议原理与证书签名多种生成方式实践指南
WeiyiGeek 唯一极客IT知识分享
04-10 2223
本章目录:0x00 前言简述CA 认证原理PKI 公钥基础设施0x01 自签名SSL证书生成1.在线(脚本)生成2.OpenSSL 生成3.CFSSL 生成0x03 cfssl 使用实践0x00 前言简述简单快速了解HTTP、HTTPS、SSLTLS概念:HTTP 是一个网络协议,是专门用来传输 Web 内容,大部分网站都是通过 HTTP 协议来传输 Web 页面、以及...
Linux日志服务rsyslog深度解析(下)
博客虽小,世界尽在其中
06-08 2697
本文深入探讨了Linux系统中重要的日志服务工具rsyslog的应用与配置。首先,我们简要介绍了rsyslog在Linux日志管理中的重要地位,以及它如何帮助系统管理员有效地收集、过滤和存储日志信息。接着,文章详细阐述了rsyslog的基本配置方法,包括如何设置日志消息的接收、过滤和转发规则,以满足不同应用场景的需求。 随后,我们深入讲解了rsyslog的远程存储功能,包括如何将日志消息存储到数据库(如MySQL)和消息队列(如Kafka)等远程服务中。在这部分,我们介绍了如何安装必要的驱动模块、配置rsy
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值