Renouvellement des différents certificats du serveur ELK

Renouvellement du certificat racine ELK :

Arrêter les services Elasticsearch, Logstash et Kibana
Supprimer l'ancien CA : /etc/elasticsearch/certs/http_ca.p12
Générer un nouveau certificat racine

# /usr/share/elasticsearch/bin/elasticsearch-certutil ca --keysize 4096 --out http_ca.p12 /etc/elasticsearch/certs/http_ca.p12 --ca-dn "CN=Elasticsearch security auto-configuration HTTP CA" -days 1095

Extraire le certificat du p12 et le rendre accessible en lecture pour tous

# openssl pkcs12 -in /etc/elasticsearch/certs/http_ca.p12 -nokeys -clcerts -out /etc/elasticsearch/certs/http_ca.crt
# chmod +r /etc/elasticsearch/certs/http_ca.crt

Récupérer l'emprunte digitale de la clé, le passer en minuscule et enlever les ":"

# openssl x509 -in /etc/elasticsearch/certs/http_ca.crt -noout -fingerprint -sha256

sha256 Fingerprint=8D:0E:CE:68:43:9A:24:C9:69:AC:A2:CE:72:9D:64:C6:71:00:90:88:A0:EB:E8:E6:C4:6B:15:FC:6C:6B:A2:7E

Remplacer l'emprunte digitale dans le fichier de configuration de Kibana : /etc/kibana/kibana.yml

server.port: 5601

server.host: 172.17.3.25

server.name: dsi-elk-prd

server.ssl.enabled: true

server.ssl.certificate: /etc/crt/elk.almaviacx.local.cer

server.ssl.key: /etc/crt/elk.almaviacx.local.key

elasticsearch.hosts: ['https://172.17.3.25:9200']

logging.appenders.file.type: file

logging.appenders.file.fileName: /var/log/kibana/kibana.log

logging.appenders.file.layout.type: json

logging.root.appenders: [default, file]

pid.file: /run/kibana/kibana.pid

elasticsearch.serviceAccountToken: AAEAAWVsYXN0aWMva2liYW5hL2Vucm9sbC1wcm9jZXNzLXRva2VuLTE2NjUzOTYzNTIzNzc6NTRDV3gyU0tRUlctRVE0akRSMFYyQQ

elasticsearch.ssl.certificateAuthorities: [/var/lib/kibana/ca_1665396353471.crt]

xpack.fleet.outputs: [{id: fleet-default-output, name: default, is_default: true, is_default_monitoring: true, type: elasticsearch, hosts: ['https://172.17.3.25:9200'], ca_trusted_fingerprint: 8d0ece68439a24c969aca2ce729d64c671009088a0ebe8e6c46b15fc6c6ba27e}]

xpack.encryptedSavedObjects.encryptionKey: 97d8aae30423bc2766601d806037d925

xpack.reporting.encryptionKey: fd04797228cc8afdbf7f6a6804b71582

xpack.security.encryptionKey: 0456310fa6680c4e06ae527d0fcc723e

Démarrer les services Elasticsearch, Logstash et Kibana

Renouvellement du certificat http de Elasticsearch

Arrêter le service Elasticsearch
Supprimer l'ancien certificat http : /etc/elasticsearch/certs/http.p12
Générer un nouveau certificat http avec mot de passe et le rendre accessible en lecture pour tous

# /usr/share/elasticsearch/bin/elasticsearch-certutil cert --ca /etc/elasticsearch/certs/http_ca.p12 --out /etc/elasticsearch/certs/http.p12 --name "dsi-elk-prd" --ip 172.17.3.25 --ip 127.0.0.1 -days 1095
# chmod +r /etc/elasticsearch/certs/http.p12

Enregistrer le mot de passe du certificat http dans les coffres

# /usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password

# /usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

Démarrer le service Elasticsearch

Renouvellement du certificat transport de Elasticsearch

Arrêter le service Elasticsearch
Supprimer l'ancien certificat transport: /etc/elasticsearch/certs/transport.p12
Générer un nouveau certificat transport avec mot de passe et le rendre accessible en lecture pour tous

# /usr/share/elasticsearch/bin/elasticsearch-certutil cert --ca /etc/elasticsearch/certs/http_ca.p12 --out /etc/elasticsearch/certs/transport.p12 --name "dsi-elk-prd" --ip 172.17.3.25 --ip 127.0.0.1 -days 1095
# chmod +r /etc/elasticsearch/certs/transport.p12

Enregistrer le mot de passe du certificat transport dans les coffres

# /usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

# /usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

Démarrer le service Elasticsearch

Renouvellement du certificat du serveur Fleet

Arrêter le service Elastic Agent
Supprimer l'ancien certificat transport: /etc/elasticsearch/certs/fleet.p12
Générer un nouveau certificat fleet

# /usr/share/elasticsearch/bin/elasticsearch-certutil cert --ca /etc/elasticsearch/certs/http_ca.p12 --out /etc/elasticsearch/certs/fleet.p12 --name "dsi-elk-prd" --ip 172.17.3.25 --ip 127.0.0.1 -days 1095

Extraite le certificat et la clé privée (sans mot de passe) et les rendre accessibles en lecture pour tous

# openssl pkcs12 -in /etc/elasticsearch/certs/fleet.p12 -nokeys -clcerts -out /etc/elasticsearch/certs/fleet.crt

# openssl pkcs12 -in /etc/elasticsearch/certs/fleet.p12 -nocerts -nodes -out /etc/elasticsearch/certs/fleet.key

# chmod +r /etc/elasticsearch/certs/fleet.crt /etc/elasticsearch/certs/fleet.key

Démarrer le service Elastic Agent

Renouvellement du certificat du serveur Kibana

Arrêter le service Kibana
Générer un nouveau certificat avec Errol avec les informations suivantes : CN : dsi-elk-prd.almavia.fr et SANs elk.almaviacx.local
Remplacer le certificat /etc/kibana/kibana.crt et la clé privée /etc/kibana/kibana.key
Démarrer le service Kibana