Piszki Lab

Analiza przypadku w języku przodków…

Certyfikaty SSL w VMware Log Insight 1.5

| 0 comments

Generalnie bardzo lubię produkty firmy VMware, są jednak takie dni, gdy doprowadzają mnie do szału. W dniu dzisiejszym usiłowałem podmienić certyfikat SSL w świeżo zainstalowanej instancji VMware Log Insight 1.5. Cokolwiek bym nie zrobił, jakkolwiek bym nie generował pary klucz+certyfikat (nie ma znaczenia czy było to openssl czy Microsoft CA), zawsze wyświetlał się komunikat “Invalid certificate format”:

loginsight2

I nie jest to jednostkowy przypadek, mam trzy instancje Log Insight, i każda zachowuje się w dokładnie ten sam sposób. Przeszukałem cały Internet, ale znalazłem niewiele i nic co by rozwiązało mój problem. Po kilku straconych godzinach, postanowiłem rozwiązać ten problem tak, jak to już wcześniej robiłem, czyli dłubiąc w konsoli. Na początku przygotowujemy sobie w naszym CA (w moim przypadku Microsoft Server 2008R2 CA) paczkę (pfx, czyli PKCS12) zawierającą certyfikat CA, klucz RSA i certyfikat serwera. Plik kopiujemy na naszą maszynę Log Insight.  W konsoli maszyny wirtualnej zakładamy własnego użytkownika w grupie “wheel”, logujemy się za pomocą putty i wykonujemy szereg poleceń (jak użytkownik root), zaczynając od zatrzymania usługi loginsight.

loginsight4

Mamy już lokalizację pliku keystore oraz hasło do niego i do klucza prywatnego. W kolejnych krokach podstawiamy nasz własny klucz i certyfikaty. Użycie formatu PKCS12 ma tę zaletę, że nie trzeba generować klucza prywatnego w keystore, zostanie on pobrany z naszego pliku pfx. Jeśli cały proces przeprowadzamy przy użyciu openssl, to najlepiej też na końcu przygotować plik w formacie PKCS12, inaczej czeka nas klasyczna ścieżka (generacja klucza, zapytania i na końcu wgranie certyfikatu).

loginsight6

Uwaga, hasło do klucza w pliku pfx było inne niż do keystore, dlatego w ostatnim poleceniu zmieniamy hasło klucza tak, aby było takie samo jak do pliku keystore! Zmieniamy też alias certyfikatu na właściwy:

loginsight7

Na samym końcu startujemy usługę loginsight i cieszymy się naszym nowym, wspaniałym, certyfikatem:

loginsight8

 

loginsight9

Oczywiście ta metoda nie jest oficjalnie wspierana, ale działa bardzo dobrze. Długo analizowałem logi w wirtualnej maszynie, nie znalazłem przyczyny dla której nie mogłem zaimportować certyfikatu i klucza przez interfejs webowy. Dokładnie ta sama para certyfikat+klucz, która nie chciała się zaimportować przez web, zadziałała po ręcznym imporcie. Problem prawdopodobnie tkwi gdzieś w kodzie aplikacji i miejmy nadzieję, że zostanie w końcu poprawiony (występował też w Log Insight 1.0). Mam nadzieję, że pomogłem Uśmiech

Oceń ten artykuł:
[Total: 0 Average: 0]

Dodaj komentarz

Required fields are marked *.