OpenSearch 2.12 TSL/SSL-Zertifikate Common Name

S

SoEgal

Member
Entschuldigt bitte, wenn dies Thema hier off-topic ist, ich weiß jedoch nicht mehr, wo ich fragen soll. Entweder werde ich an Serverforen verwiesen oder bekomme keine Antwort. Vielleicht ist ja hier jemand, der sich mit OpenSearch beschäftigt.

ich richte gerade den gesamten Server HTTPS ein. Soweit alles gut, nur stoße ich bei OpenSearch auf ein Problem, beim Erstellen der Zertifikate, mit den Common Name.

Ich weiß nicht, wie dieser aussehen soll.
Hier meine Gedanken:
Ich habe den Befehl zum Generieren der Zertifikate
openssl req -new -key node1-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=node1.dns.a-record" -out node1.csr
Click to expand...
Das Beispiel zeigt CN=node1.dns.a-record Nun frage ich mich, wie ich CN setzen muss?

CN=node1.www.my-domain.com
CN=node1.my-domain.com
CN=www.my-domain.com
CN=my-domain.com

das Gleiche für den client

openssl req -new -key client-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=client.dns.a-record" -out client.csr echo 'subjectAltName=DNS:client.dns.a-record' > client.ext
Click to expand...

CN=client.www.my-domain.com
CN=client.my-domain.com
CN=www.my-domain.com
CN=my-domain.com

Welcches ist der richtige Common Name?

Ich habe die Dokumentation gelesen, mir Tutorials angeschaut, kann bis auf Unterschiedliche Aussagen oder die Verwendung der Sample-Daten nichts finden.

nodesDn: [CN=node.other.com,OU=SSL,O=Test,L=Test,C=DE,OU=TEST,O=TEST,C=US] # List of certificate DNs allowed to connect

openssl req -new -key node2-key.pem -subj "/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=192.168.100" -out node2.csr

Please pay attention to the hostname, which is localhost here, and it should be replaced with your hostname or IP address.
Click to expand...

Hier ist noch der Link zur Dokumentation. OpenSearch-Documentation

Danke für eure Hilfe.

Wenn das hier nicht gewünscht ist, dann habe ich auch kein Problem mehr damit, wenn ihr den Thread löscht.
 
Ich kenne zwar Opensearch nicht, aber folgendes gilt eigentlich immer: In den CN kommt der FQDN rein, über den das System angesprochen wird. Sprichst du deinen Opensearch-Server über www.my-domain.de an, muss auch das da rein. Verwendest du eine Subdomain, z.B. search.my-domain.de, dann entsprechend die. Client-Zertifikate lassen vermuten, dass diese eine zertifikatsbasiere Authentifizierung am Server machen. Sind die gerätebezogen, verwendet man i.d.R. den FQDN, sind sie personenbezogen, den Namen der Person oder eine User-ID - wichtig ist, dass der CN eindeutig zuzuordnen ist.
 
danton said:
Ich kenne zwar Opensearch nicht, aber folgendes gilt eigentlich immer: In den CN kommt der FQDN rein, über den das System angesprochen wird. Sprichst du deinen Opensearch-Server über www.my-domain.de an, muss auch das da rein. Verwendest du eine Subdomain, z.B. search.my-domain.de, dann entsprechend die. Client-Zertifikate lassen vermuten, dass diese eine zertifikatsbasiere Authentifizierung am Server machen. Sind die gerätebezogen, verwendet man i.d.R. den FQDN, sind sie personenbezogen, den Namen der Person oder eine User-ID - wichtig ist, dass der CN eindeutig zuzuordnen ist.
Click to expand...
Vielen Dank,
bei mir liegt alles auf dem gleichen Server.

Wie ich schon sagte, habe ich in mehreren Foren nachgefragt. Selbst im Magento-forum und StackExchange, wo dies explizit erforderlich ist, wurde ich schon als off-topic eingestuft, was ich nicht verstehen kann.
Da ich seit Wochen damit rumhexe, habe ich jetzt einfach mal

CN=node1.www.my-domain.com (CN=Knotenzuordnung.Hostname.Domain)

eingegeben. Ich kann mit der internen Verarbeitung zwar nichts anfangen, aber es ist für mich schlüssig und hat scheinbar funktioniert, denn OpenSearch läuft ohne Fehlermeldung und erkennt die Zertifikate.

Zu dieser gibt es das Open-Dashboard, wozu ich den Client benötige. Der Client soll hier Open-Dashboard, so, wie ich es verstehe.
Leider klappt es dort nicht oder ich mache etwas falsch. Ich muss mich da noch durchwurschteln, wie ich dies abgesichert bekomme.

Irgendwie scheine ich der Einzige weltweit zu sein, der diese Probleme hat oder ich bin der Einzige, der die Sicherheitseinstellungen mal vornimmt, denn man findet absolut nichts dazu im Netzt, außer die Anleitung für jene, die es wohl eh schon können oder in die Wiege gelegt bekamen.
Auch im OpenSearch-Forum bekomme ich keine brauchbaren Antworten und werde stetig auf die Anleitung verwiesen.

Nochmals Danke für deine Mühe, mir dies zu erklären.
 
Ich habe im Opensearch-Forum nun doch eine Antwort erhalten.

"
The values can be anything if you are not using hostname verification which I would recommend you turn off while testing this, and later turn on once you have everything else configured.

The -subj can be anything, for example: “/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=root”
“/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=node1”
“/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=client”
“/C=CA/ST=ONTARIO/L=TORONTO/O=ORG/OU=UNIT/CN=admin”

But you need to configure opensearch to accept the relevant CNs, using:

plugins.security.nodes_dn:

and

plugins.security.authcz.admin_dn:

"

Is ja einfach. :ROFLMAO:
 
You must log in or register to reply here.
Back
Top