我正在尝试使用logstash http_poller来查询服务器RESTAPI。我通过explore下载服务器pem,并使用keytool生成jks文件。但我们仍然收到错误“PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到所请求目标的有效证书路径”。不知道有什么不对。
如下配置:
http_poller {
urls => {
restapi => {
method => get
url => "https://path_to_resources
headers => {
Accept => "application/json"
}
truststore => "/path/generated.truststore.jks"
truststore_password => "xxx"
ssl_certificate_validation => false
auth => {
user => "xxx"
password => "xxx"
}
}
}
request_timeout => 60
interval => 60000
codec => "json"
metadata_target => "http_poller_metadata"
}
}
顺便说一句,如果将ssl_certificate_validation设置为false会产生什么影响?
答案 0 :(得分:1)
我将 OP 的意图解释为希望能够禁用 TLS 验证,但我们仍然不能 (logstash-7.11.1),我继续研究如何为这些情况获取信任存储。这个 Q 是我追求同样的目标之一。
某些设备将运行自签名证书(另一个讨论 ppl...) - 因此设置此类信任库的小脚本可能会有所帮助,尤其是当您要在内部设置一些自动化时。
另一个警告是自签名证书仍然必须具有匹配的主机名。
基于来自 https://www.elastic.co/guide/en/logstash/current/plugins-inputs-http_poller.html 的示例
注意!进一步的错误检查等由您自行决定。
#!/bin/bash
# Fetch an http server's TLS certificate and
# create or update a JAVA keystore / truststore
usage () {
echo "usage: get-cert.sh <hostname>:<port>"
exit 1
}
TRUSTSTORE=cacert/trust.jks
PARAM=$1
HOSTNAME=$(echo "$PARAM" | cut -d: -f 1)
PORT=$(echo "$PARAM" | cut -d: -f 2)
REST=$(echo "$PARAM" | cut -d: -f 3-)
[ -z "$HOSTNAME" ] && usage
[ -z "$PORT" ] && usage
[ -n "$REST" ] && usage
OUTPUT=$(
openssl \
s_client \
-showcerts \
-connect "${HOSTNAME}":"${PORT}" </dev/null 2>/dev/null | \
openssl \
x509 \
-outform PEM)
EC=$?
[ $EC -ne 0 ] && { echo "ERROR EC=$EC - $OUTPUT" ; exit $EC ; }
keytool \
-import \
-storepass changeit \
-alias ${HOSTNAME} \
-noprompt \
-file <(echo "$OUTPUT") \
-keystore ${TRUSTSTORE}
在这里使用一些 bash 特定的可能性。另一种方法是通过临时文件,如 pr 官方示例(见上面的链接)。
答案 1 :(得分:0)
显然您的证书无效。 关于
ssl_certificate_validation
它没有真正的影响,http-puller基于manticore,一个在Apache HC上传递的红宝石库 which does not support this hook see