반응형

1. CA 생성 시 입력하는 패스워드

역할 및 목적
CA(Certificate Authority)를 생성할 때 입력하는 패스워드는 CA의 개인 키를 암호화하는 데 사용됩니다. 예를 들어, elasticsearch-certutil ca 명령어를 통해 CA 인증서를 만들 때, 이 패스워드는 CA의 개인 키(예: http_ca.key)를 안전하게 암호화하여 저장합니다. 이후, CA를 이용해 다른 인증서를 서명할 때도 이 암호가 필요할 수 있습니다.

사용 시점과 영향

  • 사용 시점: 주로 CA 관련 작업, 예를 들어 새로운 인증서를 서명하거나 CA 인증서를 재발급할 때 필요합니다.
  • 실행 후 영향: 이 패스워드는 CA의 개인 키를 보호하는 역할을 하며, 운영 중에는 CA 관련 작업이 발생하지 않는 한 별도의 런타임 영향은 없습니다.

2. Elasticsearch keystore의 xpack.security.http.ssl.keystore.secure_password

역할 및 목적
이 설정은 Elasticsearch가 HTTPS 통신에 사용하는 HTTP keystore(예: http.p12) 파일을 열 때 사용됩니다. keystore 파일에는 HTTP 인증서와 그에 대응하는 개인 키가 포함되어 있으며, 이를 통해 Elasticsearch는 안전한 HTTPS 연결을 설정합니다.

사용 시점과 영향

  • 사용 시점: Elasticsearch가 시작할 때 keystore 파일을 열어 HTTPS 연결을 위한 인증서와 개인 키를 읽어들일 때 이 패스워드가 사용됩니다.
  • 실행 후 영향: 만약 이 패스워드가 올바르지 않다면, Elasticsearch는 keystore를 열 수 없게 되어 HTTPS 연결을 설정하지 못합니다. 그 결과 클라이언트(예: Kibana)와의 보안 통신에 문제가 발생할 수 있습니다.

3. 두 패스워드는 서로 달라도 괜찮은가?

두 패스워드는 각각 완전히 다른 역할을 수행합니다.

  • CA 패스워드: CA의 개인 키를 암호화하여 보호하며, CA 관련 서명 작업에 사용됩니다.
  • Keystore 패스워드: Elasticsearch가 HTTPS 통신에 필요한 인증서와 개인 키가 저장된 keystore 파일을 열 때 사용됩니다.

따라서 보안 정책에 따라 두 패스워드는 반드시 동일할 필요는 없으며, 서로 독립적으로 관리하는 것이 일반적입니다.

결론

보안 설정을 보다 명확하게 구성하기 위해서는 각 패스워드의 역할과 사용 시점을 정확히 이해하는 것이 중요합니다.

  • CA 생성 시 입력하는 패스워드: CA의 개인 키 암호화 및 서명 작업에 사용.
  • xpack.security.http.ssl.keystore.secure_password: Elasticsearch가 HTTPS 통신을 위해 keystore 파일을 열 때 사용.
728x90
반응형

'개발라이프 > 인프라' 카테고리의 다른 글

[elasticsearch+kibana]단일 노드에 http 인증서 설정하기  (0) 2025.02.07
반응형

 

방법은 CA부터 만들고 elasticsearch-certutil http에서 생성한  CA를 선택해서 진행하는 방식과

elasticsearch-certutil http로 바로 시작해서 CA를 만들면서 시작하는 방식이 있는데 공식문서에는 첫번재 방식에 대해서 자세히 설명이 되어 있지만 저는 두번째 방식으로 진행했습니다.

 

우분투 18.04에 elasticsearch와 kibana만 설치하고 진행했습니다.

#우분투에 설치된 경로 기준
sudo /usr/share/elasticesearch/bin/elasticsearch-certutil htt

해당 명령어를 입력하면 인증서를 만들기 위해 옵션 설정 항목들이 나옵니다.

## Elasticsearch HTTP Certificate Utility

# Do you wish to generate a Certificate Signing Request (CSR)?
Generate a CSR? [y/N]n

## Do you have an existing Certificate Authority (CA) key-pair that you wish to use to sign your certificate?
Use an existing CA? [y/N]n

## CA Generation Options
Do you wish to change any of these options? [y/N]n

## CA password
CA password:  [<ENTER> for none] 패스워드입력
Repeat password to confirm: 패스워드입력

## How long should your certificates be valid?
For how long should your certificate be valid? [5y] 2y

## Do you wish to generate one certificate per node?
Generate a certificate per node? [y/N]n

## Which hostnames will be used to connect to your nodes?
localhost

Is this correct [Y/n]y

## Which IP addresses will be used to connect to your nodes?
127.0.0.1

Is this correct [Y/n]y

## Other certificate options
Do you wish to change any of these options? [y/N]n

## What password do you want for your private key(s)?
Provide a password for the "http.p12" file:  [<ENTER> for none] 패스워드입력
Repeat password to confirm: 패스워드입력

## Where should we save the generated files?
What filename should be used for the output zip file? [/usr/share/elasticsearch/elasticsearch-ssl-http.zip] 엔터

마지막 output zip file 에서 파일명 변경없이 엔터 치면 Zip file written to /usr/share/elasticsearch/elasticsearch-ssl-http.zip 메시지와 함께 제안해준 파일이 생성이 됩니다.

sudo unzip /usr/share/elasticsearch/elasticsearch-ssl-http.zip -d /etc/elasticsearch/certs/http

압축파일을 /etc/elasticsearch/certs/http 아래에 풀었는데요 기본적으로 /etc/elasticsearch/certs까지 구성되어 있기 때문에 http 디렉토리를 먼저 만들고 진행하면 됩니다.

Archive:  /usr/share/elasticsearch/elasticsearch-ssl-http.zip
   creating: /etc/elasticsearch/certs/http/elasticsearch/
  inflating: /etc/elasticsearch/certs/http/elasticsearch/README.txt  
  inflating: /etc/elasticsearch/certs/http/elasticsearch/http.p12  
  inflating: /etc/elasticsearch/certs/http/elasticsearch/sample-elasticsearch.yml  
   creating: /etc/elasticsearch/certs/http/ca/
  inflating: /etc/elasticsearch/certs/http/ca/README.txt  
  inflating: /etc/elasticsearch/certs/http/ca/ca.p12  
   creating: /etc/elasticsearch/certs/http/kibana/
  inflating: /etc/elasticsearch/certs/http/kibana/README.txt  
  inflating: /etc/elasticsearch/certs/http/kibana/elasticsearch-ca.pem  
  inflating: /etc/elasticsearch/certs/http/kibana/sample-kibana.yml

압축을 풀면 위와 같이 어떤 파일들이 압축해제 되었는지 보여줍니다. 

파일들에 대해서 요약해보자면 

  • Elasticsearch 관련 파일 (/elasticsearch/ 디렉터리)
    • http.p12: Elasticsearch HTTP 통신에 사용할 인증서와 개인 키.
    • sample-elasticsearch.yml: 해당 인증서를 사용하는 설정 예시.
  • CA 관련 파일 (/ca/ 디렉터리)
    • ca.p12: Elasticsearch HTTP 인증서를 서명한 CA 정보가 담긴 키스토어.
  • Kibana 관련 파일 (/kibana/ 디렉터리)
    • elasticsearch-ca.pem: Kibana가 Elasticsearch의 인증서를 검증할 때 사용하는 CA 인증서.
    • sample-kibana.yml: Kibana의 SSL/TLS 설정 예시 파일.
sudo vi /etc/elasticsearch/elasticsearch.yml

elasticsearch.yml  파일을 열어서 keystore.path 설정 변경을 해줍니다.

xpack.security.http.ssl:
	enabled: true
    keystore.path: certs/http/elasticsearch/http.p12

그리고 Elasticsearch의 보안 설정에 개인 키의 비밀번호를 추가합니다.

sudo /usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password

기존에 생성되어 있는 키가 있기때문에 덮어씌우기하시면 됩니다.

sudo systemctl restart elasticsearch

elasticsearch를 재시작해하면 elasticsearch와 관련된 설정은 끝이고 kibana 설정을 해보겠습니다.

sudo cp /etc/elasticsearch/certs/http/kibana/elasticsearch-ca.pem /var/lib/kibana/

압축파일에 있던 인증서를 복사합니다.

sudo openssl x509 -in /var/lib/kibana/elasticsearch-ca.pem -noout -fingerprint -sha256

설정파일을 수정할때 ca_trusted_fingerprint값도 바꿔야 하기때문에 미리 출력합니다.

sudo vi /etc/kibana/kibana.yml

kibana.yml파일을 열어서 기존에 있던 인증서 설정값을 새로운 인증서로 변경합니다.

elasticsearch.ssl.certificateAuthorities: [/var/lib/kibana/elasticsearch-ca.pem]
xpack.fleet.outputs:[{......, ca_trusted_figerprint: "sha256 값"
sudo systemctl restart kibana

kibana를 재실행 하면 설정은 끝납니다.

 

 

728x90
반응형

'개발라이프 > 인프라' 카테고리의 다른 글

[elasticsearch]보안 설정: CA 패스워드와 Keystore 패스워드 완벽 비교하기  (0) 2025.02.07

+ Recent posts

티스토리툴바