LINUX.ORG.RU
ФорумAdmin

systemd-journal-remote

 ,


0

1

Доброго времени суток, есть настроенный клиент и сервер по мануалу man systemd-journal-upload.8. Проблем со связностью нет, с правами доступа к сертификатам и ключам всё в порядке.

OpenSSL 3.3.2 3 Sep 2024 (Library: OpenSSL 3.3.2 3 Sep 2024)

systemd 252 (252-32.el9_4.7)
+PAM +AUDIT +SELINUX -APPARMOR +IMA +SMACK +SECCOMP +GCRYPT +GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS -FIDO2 +IDN2 -IDN -IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 -PWQUALITY +P11KIT -QRENCODE +TPM2 +BZIP2 +LZ4 +XZ +ZLIB +ZSTD -BPF_FRAMEWORK +XKBCOMMON +UTMP +SYSVINIT default-hierarchy=unified

[Service]
ExecStart=/usr/lib/systemd/systemd-journal-remote --listen-https=-3 --output=/var/log/journal/remote/

[Remote]
ServerKeyFile=/etc/ssl/journal-remote/server.key
ServerCertificateFile=/etc/ssl/journal-remote/server.pem
TrustedCertificateFile=/etc/ssl/journal-remote/ca.pem

[Upload]
URL=https://10.0.30.45
ServerKeyFile=/etc/ssl/journal-remote/client.key
ServerCertificateFile=/etc/ssl/journal-remote/client.pem
TrustedCertificateFile=/etc/ssl/journal-remote/ca.pem

сервер: systemd-journal-remote[2976]: microhttpd: Error: received handshake message out of context.

клиент: Upload to https://10.0.30.45:19532/upload failed: could not load PEM client certificate, OpenSSL error error:0A00018F:SSL routines::ee key too small, (no key found, wrong pass phrase, or wrong file format?)

я могу проверить сертификат с помощь openssl создаётся TLS сессия и всё нормально. Но когда работает служба посылает запрос ACK сервер не отвечает, клиент выдаёт ошибку. У меня идей нет, я кончился. Подскажите куда смотреть…



Последнее исправление: SmilePlz (всего исправлений: 1)
Ответ на: комментарий от intelfx

обрати внимание на то что скрипт в текущей директории создаёт ключи и сертификаты, но перед этим удаляет все файлы кроме скрипта.

#!/usr/bin/env bash

set -Eeuo pipefail

script_dir=$(cd "$(dirname "${BASH_SOURCE[0]}")" &>/dev/null && pwd -P)

cd "$script_dir"

find . -type f -not -name "init.sh" -delete

openssl req -newkey rsa:4096 -days 3650 -x509 -nodes \
    -out ca.pem -keyout ca.key -subj '/CN=Certificate authority/'

cat >ca.conf <<EOF
[ ca ]
default_ca = this

[ this ]
new_certs_dir = .
certificate = ca.pem
database = ./index
private_key = ca.key
serial = ./serial
default_days = 3650
default_md = default
policy = policy_anything

[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
EOF

touch index
echo 0001 >serial

SERVER=server
CLIENT=client

openssl req -newkey rsa:4096 -nodes -out $SERVER.csr -keyout $SERVER.key -subj "/CN=$SERVER/"
openssl ca -batch -config ca.conf -notext -in $SERVER.csr -out $SERVER.pem

openssl req -newkey rsa:4096 -nodes -out $CLIENT.csr -keyout $CLIENT.key -subj "/CN=$CLIENT/"
openssl ca -batch -config ca.conf -notext -in $CLIENT.csr -out $CLIENT.pem
SmilePlz
() автор топика
Последнее исправление: SmilePlz (всего исправлений: 2)