.png)
Tengo un certificado comodín para servicios internos. Me gustaría ejecutar Security Onion detrás de un ALB para poder obtener SSL válido con un único certificado almacenado en el administrador de certificados. (Almacenarlo allí es mejor por razones de seguridad, además de facilitar el mantenimiento y la confiabilidad)
El problema parece ser que en el archivo de configuración de Security Onion /opt/so/saltstack/local/pillar/global.sls
url_base: # IP or FQDN
Se puede configurar para escuchar por dirección IP (en cuyo momento las redirecciones de inicio de sesión apuntan a IP y se rompe SSL verificado) O por FQDN (en cuyo momento no responde las solicitudes por IP y la verificación de estado del grupo objetivo falla).
Accidentalmente lo hice funcionar al cambiar de IP a FQDN. Pero sospecho que estaba funcionando en el período de gracia de 2 minutos mientras la verificación de estado aún estaba verde pero el servidor funcionaba según FQDN.
Detrás de escena, Security Onion está utilizando nginx para realizar el enrutamiento del host a la ventana acoplable. El archivo de configuración de nginx está aquí /opt/so/saltstack/default/salt/nginx/etc/nginx.conf
¿Alguien ha hecho esto antes?
Respuesta1
Pude hacer que esto funcionara insertando una verificación de estado simple en la configuración de nginx.
server {
listen 443 ssl http2;
server_name 192.168.1.something;
location /health {
access_log off;
add_header 'Content-Type' 'text/plain';
return 200 "healthy\n";
}
}
Dos limitaciones de este enfoque.
- Codifiqué la dirección IP en mi configuración y esto se romperá si mi host alguna vez se mueve o se vuelve a crear una instancia de la instantánea. (¿Se puede solucionar esto haciendo que nginx infiera la IP local?)
- La verificación de estado verifica que nginx se esté ejecutando pero no que SO esté en buen estado detrás de él.