Logstash-forwarder表示当使用带有SubjectAltName的自签名证书时，由未知权威机构签名的证书。

Question

我正试着连接到日志仓库和物流转发器。他们的通信基于ssl，因此我在this之后生成了一个自签名证书。然后，我在日志转发器端得到了一条错误消息：

未能与9.21.61.19 x509:由未知权威机构签名的证书进行握手(可能是因为"x509:无效签名:父证书在试图验证候选权威证书“*.**.*时无法签署此类证书”)

如果我生成的证书没有主题alt名称，它将工作。工作证书可以通过以下方式生成：

openssl req -x509 -batch -nodes -newkey rsa:2048 -keyout lumberjack.key -out lumberjack.crt -subj /CN=*.*.*.*.*

但是我希望做的是生成一个证书，它可以在不同类型的主机中使用。要做到这一点，我想要生成一个ssl证书，其CN=*.*.*.*.*，然后alt名称包括*，*.*，*.*.*等等。

对于如何克服这个ssl错误，有什么建议吗？或者一个更好的方式让物流商可以在不同的环境中工作？

Answer 1

原来，当我移除

keyUsage = digitalSignature，keyEncipherment

在[ v3_ca ]中，生成的证书适用于各种主机名，这是在guide中提出的。

对于SSL来说，这可能不是正确的方案。但是对于logstash/logstash的情况，它确实有帮助。

Answer 2

您在"ssl“中提到过logstashtransder.conf中的pem文件吗？您必须提到用于在conf中签名证书的pem文件。