在HTTPS上为NiFi生成自签名证书

Question

我一直遵循这两种资源来生成我的证书：

模式 https://community.cloudera.com/t5/Community-Articles/Setting-Up-a-Secure-NiFi-to-Integrate-with-a-Secure-NiFi/ta-p/247765

两个人看起来都挺直的。请注意，我在远程服务器(没有域)上运行NiFi 1.10.0，使用java8运行Debian9(新实例)。我没有与服务器相关的域名，只有一个公共IP地址。

在服务器上，我尝试使用以下命令生成我的证书：

bin/tls-toolkit.sh standalone -n 'localhost' -C 'CN=sys_admin,OU=NIFI'
bin/tls-toolkit.sh standalone -n '0.0.0.0' -C 'CN=sys_admin,OU=NIFI'
bin/tls-toolkit.sh standalone -n 'my.server.ip.address' -C 'CN=sys_admin,OU=NIFI'
bin/tls-toolkit.sh standalone -n 'my.server.ip.address:9443' -C 'CN=sys_admin,OU=NIFI'

我相应地更新了授权人的档案。然而，我总是得到NET::ERR_CERT_REVOKED错误。

跑步：

sudo openssl s_client -connect 0.0.0.0:9443 -showcerts -state -debug

我知道错误：

验证错误:证书链中的自签名证书

Answer 1

我不知道证书可以绑定到一个ip地址。

不过，听起来这不是个好主意。

下面是一个与如何生成绑定到IP地址的自签名SSL证书相关的问题，它避免将证书绑定到ip地址。

我知道它并没有真正回答你的问题，但听起来你会更好地得到一个域名，并绑定您的自签署证书。或者，您可以获得一个真正的域。我用命名堆。它真的不太贵。特别是如果您选择了一条非常规路径的TLD，我也建议使用让我们加密和Certbot来生成一个真正的公共证书。这是免费的，您将不必担心将您的假CA或中级证书添加到每台机器上，您想要信任您的网站。Certbot使生成公共证书变得非常容易。

Answer 2

我想你已经知道OpenSSL是什么了。因此，尝试下面的命令来完成它。

1. openssl req -x509 -newkey rsa:4096 -keyout key1.pem -out cert1.pem -days 3650 -subj -subj
2. openssl x509 -outform der -in cert1.pem -out cert1.crt

命令一的解释：，您将得到2个输出文件。一个是key1.pem，另一个是cert1.pem，它是使用-out选项生成的。如果您仔细查看-subj选项，您将发现引用的选项数

• /C指定国家名称(2个字母代码)。例如，IN和US。这是强制性的。
• /ST指定州或省名称(全名)。例如俄亥俄州和北方邦。这是强制性的。
• /L指定本地名称(例如，城市)。比如克利夫兰和诺伊达。这是强制性的。
• /O指定组织名称(例如，公司)。例如，谷歌和雅虎。这是强制性的。
• /OU指定组织单位名称(例如，节)。比如工程部。这是强制性的。
• /CN指定公共名称(例如，服务器FQDN或您的名称)。例如，localhost和127.0.0.1。这是强制性的。
• /emailAddress指定电子邮件地址。例如，sample@example.com。这不是强制性的。

命令的解释第二:需要将 Cert1.pem转换为.CRT文件，然后使用邮件链中的help命令将其导入信任存储。