Wazuh证书与脚本工具
我们使用官方提供的证书管理工具—— wazuh-certs-tool.sh,来制作部署Wazuh服务使用的各种证书。
在安装Wazuh服务中使用的三种证书:
- root-ca,根证书,用来对其它证书进行签名
- node,节点证书,运行Wazuh indexer的节点都需要使用这个证书,且该node节点的IP需要包含在证书内。
- admin,管理员证书是具有管理和安全相关任务所需特权的客户端证书。
创建包括rootCA在内的全套Wazuh证书
使用上述脚本工具创建的数字证书,默认使用以下参数值:
- C: US
- L: California
- O: Wazuh
- OU: Wazuh
- CN: Name of the node
需要根据实际信息,准备配置文件config.yml:
nodes:
# Wazuh indexer nodes
indexer:
- name: node-1
ip: <indexer-node-ip>
# - name: node-2
# ip: <indexer-node-ip>
# - name: node-3
# ip: <indexer-node-ip>
# Wazuh server nodes
# Use node_type only with more than one Wazuh manager
server:
- name: wazuh-1
ip: <wazuh-manager-ip>
# node_type: master
# - name: wazuh-2
# ip: <wazuh-manager-ip>
# node_type: worker
# Wazuh dashboard nodes
dashboard:
- name: dashboard
ip: <dashboard-node-ip>
- 这里的node-ip既可以直接使用IP地址,也可以使用DNS名称
在准备好config.yml文件后,使用以下命令一键创建所有的证书:
bash wazuh-certs-tool.sh -A
wazuh-certificates/
├── admin-key.pem
├── admin.pem
├── dashboard-key.pem
├── dashboard.pem
├── indexer-key.pem
├── indexer.pem
├── root-ca.key
├── root-ca.pem
├── server-key.pem
└── server.pem
注:使用wazuh-certs-tool.sh工具创建的证书有效期默认值均为10年。
使用已有rootCA创建Wazuh服务证书
bash wazuh-certs-tool.sh -A /path/to/root-ca.pem /path/to/root-ca.key
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
