systemd-journal-remote

0

1

Доброго времени суток, есть настроенный клиент и сервер по мануалу man systemd-journal-upload.8. Проблем со связностью нет, с правами доступа к сертификатам и ключам всё в порядке.

OpenSSL 3.3.2 3 Sep 2024 (Library: OpenSSL 3.3.2 3 Sep 2024)

systemd 252 (252-32.el9_4.7)
+PAM +AUDIT +SELINUX -APPARMOR +IMA +SMACK +SECCOMP +GCRYPT +GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS -FIDO2 +IDN2 -IDN -IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 -PWQUALITY +P11KIT -QRENCODE +TPM2 +BZIP2 +LZ4 +XZ +ZLIB +ZSTD -BPF_FRAMEWORK +XKBCOMMON +UTMP +SYSVINIT default-hierarchy=unified

[Service]
ExecStart=/usr/lib/systemd/systemd-journal-remote --listen-https=-3 --output=/var/log/journal/remote/

[Remote]
ServerKeyFile=/etc/ssl/journal-remote/server.key
ServerCertificateFile=/etc/ssl/journal-remote/server.pem
TrustedCertificateFile=/etc/ssl/journal-remote/ca.pem

[Upload]
URL=https://10.0.30.45
ServerKeyFile=/etc/ssl/journal-remote/client.key
ServerCertificateFile=/etc/ssl/journal-remote/client.pem
TrustedCertificateFile=/etc/ssl/journal-remote/ca.pem

сервер: systemd-journal-remote[2976]: microhttpd: Error: received handshake message out of context.

клиент: Upload to https://10.0.30.45:19532/upload failed: could not load PEM client certificate, OpenSSL error error:0A00018F:SSL routines::ee key too small, (no key found, wrong pass phrase, or wrong file format?)

я могу проверить сертификат с помощь openssl создаётся TLS сессия и всё нормально. Но когда работает служба посылает запрос ACK сервер не отвечает, клиент выдаёт ошибку. У меня идей нет, я кончился. Подскажите куда смотреть…

←	Нету интернета в LAN

Нестабильная работа VPS с 3x-ui Xray VLESS Reality

→

Напиши, как/чем сертификаты генерировал? Попробую воспроизвести.

intelfx ★★★★★
(11.10.24 16:24:21 MSK)
Последнее исправление: intelfx 11.10.24 16:24:29 MSK (всего исправлений: 1)

Ответ на: комментарий от intelfx 11.10.24 16:24:21 MSK

обрати внимание на то что скрипт в текущей директории создаёт ключи и сертификаты, но перед этим удаляет все файлы кроме скрипта.

#!/usr/bin/env bash

set -Eeuo pipefail

script_dir=$(cd "$(dirname "${BASH_SOURCE[0]}")" &>/dev/null && pwd -P)

cd "$script_dir"

find . -type f -not -name "init.sh" -delete

openssl req -newkey rsa:4096 -days 3650 -x509 -nodes \
    -out ca.pem -keyout ca.key -subj '/CN=Certificate authority/'

cat >ca.conf <<EOF
[ ca ]
default_ca = this

[ this ]
new_certs_dir = .
certificate = ca.pem
database = ./index
private_key = ca.key
serial = ./serial
default_days = 3650
default_md = default
policy = policy_anything

[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
EOF

touch index
echo 0001 >serial

SERVER=server
CLIENT=client

openssl req -newkey rsa:4096 -nodes -out $SERVER.csr -keyout $SERVER.key -subj "/CN=$SERVER/"
openssl ca -batch -config ca.conf -notext -in $SERVER.csr -out $SERVER.pem

openssl req -newkey rsa:4096 -nodes -out $CLIENT.csr -keyout $CLIENT.key -subj "/CN=$CLIENT/"
openssl ca -batch -config ca.conf -notext -in $CLIENT.csr -out $CLIENT.pem

SmilePlz ★
(11.10.24 18:51:01 MSK) автор топика
Последнее исправление: SmilePlz 11.10.24 19:10:54 MSK (всего исправлений: 2)

←	Нету интернета в LAN

Admin

Нестабильная работа VPS с 3x-ui Xray VLESS Reality

→

Похожие темы