Я пытаюсь установить самозаверяющий SSL-сертификат для SOLR 7.4 (в Ubuntu 16.04).
Я следовал объяснениям на сайте Lucene , но безуспешно.
Я сделал:
keytool -genkeypair -alias solr-ssl -keyalg RSA -keysize 2048 -keypass MyPassword -storepass MyPassword -validity 9999 -keystore solr-ssl.keystore.jks -ext SAN=DNS:localhost,IP:51.75.xx.xxx,IP:127.0.0.1 -dname "CN=localhost, OU=xxx, O=xxx, L=xxx, ST=xxx, C=xx"
Тогда
keytool -importkeystore -srckeystore solr-ssl.keystore.jks -destkeystore solr-ssl.keystore.p12 -srcstoretype jks -deststoretype pkcs12
Эта команда запрашивала у меня пароль назначения и исходный пароль. Я просто набрал тот же пароль, который использовался в команде keytool.
Тогда я сделал:
openssl pkcs12 -in solr-ssl.keystore.p12 -out solr-ssl.pem
Эта команда попросила меня ввести пароль для импорта и фразу PEM. Опять же, я просто набрал тот же пароль, что и раньше (даже для фразы PEM Pass).
Нет ошибок, когда отображается после этой команды.
Тогда в solr.in.sh:
SOLR_SSL_ENABLED=true
# Uncomment to set SSL-related system properties
# Be sure to update the paths to the correct keystore for your environment
SOLR_SSL_KEY_STORE=etc/solr-ssl.keystore.jks
SOLR_SSL_KEY_STORE_PASSWORD=MyPassword
SOLR_SSL_TRUST_STORE=etc/solr-ssl.keystore.jks
SOLR_SSL_TRUST_STORE_PASSWORD=MyPassword
# Require clients to authenticate
SOLR_SSL_NEED_CLIENT_AUTH=false
# Enable clients to authenticate (but not require)
SOLR_SSL_WANT_CLIENT_AUTH=false
# SSL Certificates contain host/ip "peer name" information that is validated by default. Setting
# this to false can be useful to disable these checks when re-using a certificate on many hosts
SOLR_SSL_CHECK_PEER_NAME=false
# Override Key/Trust Store types if necessary
SOLR_SSL_KEY_STORE_TYPE=JKS
SOLR_SSL_TRUST_STORE_TYPE=JKS
Наконец я делаю
sudo service solr start
Нет ошибок. Если я проверяю статус Solr, он говорит мне, что он (все еще) работает на порту 8983.
Открытие https://ipofmyserver:8983, я не могу получить доступ к SOLR. Он говорит мне, что мое соединение не защищено и сертификат недействителен.
Я действительно в недоумении. Если у кого-то есть представление о том, что я сделал неправильно, я буду признателен. Спасибо.
PS: так ли важно использовать SSL для защиты SOLR, зная, что я уже использую базовую аутентификацию и IPtables в качестве брандмауэра, позволяя только IP-адрес сервера запрашивать SOLR? (Спрашивая, если я не могу решить мою проблему здесь)