在我提出这个问题之前,让我先介绍一下背景,以便我们清楚地了解问题本身。我们需要使用searchguard ssl支持使用Elasticsearch(v5.2.x)的单向SSL方式。我们有一个开发人员(非生产)程序列表,负责生成自签名SSL证书。这里我们有一个根(本地创建)和实际证书。如果我们导入密钥库(包含私钥和签名证书)和信任库(包含根证书),一切正常。
但几天前,我们收到了一位客户的请求。在那里,我们需要支持SSL。所以,我们按照以下步骤操作:
现在,如果我们启动Elasticsearch,则抛出以下错误:[ERROR][c.f.s.s.t.SearchGuardSSLNettyTransport] [uyyIg3i] SSL Problem Received fatal alert: certificate_unknown
javax.net.ssl.SSLException: Received fatal alert: certificate_unknown
有趣的是,确切的程序是有效的,如果我们只有根ca,签署实际的csr。任何帮助都可以理解这个问题的根本原因,因为我现在有些想法。
经过几次无聊的调试会议,我们发现CN名称和实际的主机名不同。在使两者相同之后,我们开始工作了。