graylog und SSL/TLS

[joe2017]

Hallo zusammen,

ich möchte mein Graylog Webinterface und Client communication auf SSL/TLS umstellen.
Leider hänge ich schon bei dem Webinterface. Die Client communication hab ich noch nicht angefangen.

Ich bin folgendermaßen vorgegangen. Ich habe auf meiner Zertifizierungsstelle ein Zertifikat generiert, auf den Server übertragen und meine CA als vertrauenswürdig eingestuft.
Anschließend habe ich folgende Anpassungen gemacht.

Code: Alles auswählen

sudo nano /etc/graylog/server/server.conf
-------
http_enable_tls = true
http_tls_cert_file = /path/to/cert/graylog.crt.pem
http_tls_key_file = /path/to/cert/graylog.key.pem (ohne kennwort)
------
systemctl restart graylog-server.service

Jetzt startet der Service nicht mehr. Ich habe auch schon ein chain Zertifikat getestet. Leider ohne Erfolg.
Ich habe auch schon versucht die Berechtigungen anzupassen:

Code: Alles auswählen

chown -R graylog:graylog /path/to/cert

Muss ich noch etwas anderes beachten oder habe ich etwas vergessen?

[schwedenmann]

Hallo


Was sagt denn:

systemctl status graylog-server-.service

mfg
schwedenmann

[joe2017]

Also ich habe gerade herausgefunden, dass mein Service nicht startet wenn die Berechtigungen für root und nicht graylog (chown) gesetzt sind.
Der private key muss konvertiert (pkcs8) werden.

Jetzt startet auch mein Service. Der restart dauert jedoch ewigkeiten!
Der Status zeigt auch alles gut an. Jedoch ist die Webseite nicht erreichbar.

Im Log (/var/log/graylog-server/server.log) sehe ich folgende Fehlermeldung:

Code: Alles auswählen

FAILED=JerseyService
Java.security.keyException: no private key found in file: /path/to/graylog_pkcs8.pem

[joe2017]

Ich sehe gerade das meine pkcs8 datei 0 bytes hat.
Anscheinend ist hier etwas schief gelaufen. Ich check das erst mal kurz!

Jaaa, dass war ein klassischer UZB Fehler
Also Service Startet, alles Grün, Keine Fehlermeldung, Seile wird mit https://servername:9000 aufgelöst, Seite bleibt jedoch komplett weiß?
Wenn ich den Service neu starte kann ich kurzzeitig auf die Webseite zugreifen. Ich kann mich auch anmelden. Jedoch kommt kurz darauf "Server currently unavailable"

Code: Alles auswählen

Error message
Request has been terminated
Possible causes:the network is offline, origin is not allowed by access-control.
Allow-Origin, the page is being unloaded, etc.

[joe2017]

Ich überspringe den Schritt TLS für das Webinterface jetzt erstmal und teste das zu einem späteren Zeitpunkt nochmal.

Meine Client TLS Übertragung habe ich aktuell bereits eingerichtet. Anbei ein kleines howto...
Server Configuration

Code: Alles auswählen

Graylog Input - Syslog TCP
---------------------
tls_cert_file: /path/to/graylog.cert.pem
tls_client_auth: required
tls_client_auth_cert_file: /path/to/client.cert.pem
tls_enable: true
tls_key_file: /path/to/graylog.key.pem
---------------------

Client Configuration

Code: Alles auswählen

sudo apt install rsyslog-gnutls
sudo nano /etc/rsyslog.d/graylog.conf
---------------------
#RsyslogGnuTLS
$DefaultNetstreamDriver gtls
$DefaultNetstreamDriverCAFile /path/to/CA.cert.pem
$DefaultNetstreamDriverCertFile /path/to/client.cert.pem
$DefaultNetstreamDriverKeyFile /path/to/client.key.pem
$ActionSendStreamDriverAuthMode x509/certvalid
$ActionSendStreamDriverMode 1

*.* @@graylogIP:PORT;RSYSLOG_SyslogProtocol23Format
---------------------
sudo etc/init.d/rsyslog restart