Splunk Heavy Forwarder节点HEC证书替换方案

在项目实施过程中第三方系统通过HEC方式发送数据到HF节点，由于HF节点证书为自签发的证书。同时第三方系统在数据发送时会校验目标系统的SSL证书，如果证书校验不通过会导致数据发送失败。

故配置HF节点使用客户自己购买的证书给HF节点使用，再配合soc-hf.hesc.info域名一起使用，解决证书校验不通过的问题。

01 替换方案步骤概述

1. 将hesc.info证书上传到HF节点中。
2. 合并hesc.info证书为HEC证书
3. 覆盖替换原HEC证书
4. 重启HF节点Splunk服务
5. 使用curl命令检查SSL证书替换状态

02 替换步骤

2.1 上传证书到HF节点

使用堡垒机将hesc.info.pem和hesc.info.key证书上传到HF节点/tmp目录中。

​

2.2 合并smooretech.com证书

说明：通常情况下证书签发机构的提供的证书分为CERTIFICATE和PRIVATE KEY证书。如果想要在Splunk HEC中使用证书，需要将CERTIFICATE、PRIVATE KEY证书进行合并生成证书链。

切换到root用户，使用“cat”命令合并并且新增一个hec.pem证书

$ sudo -i
$ cat /tmp/hesc.info.pem /tmp/hesc.info.key > /tmp/hesc.info-hec.pem

2.3 覆盖替换原HEC证书

切换到root用户，使用“mv”命令将/tmp/smooretech.com-hec.pem证书移动到/opt/splunk/etc/auth/hec/目录中，覆盖历史的HEC证书。

$ sudo -i
$ mv -i /tmp/hesc.info-hec.pem /opt/splunk/etc/auth/hec/hesc.info-hec.pem

2.4 Heavy Forwarder节点配置

在$SPLUNK_HOME/etc/system/local/​目录中创建inputs.conf​配置文件，设置[http]​使用证书配置项

[http]
port = 8088  # 监听端口
enableSSL = true  # 是否启用https
serverCert = /opt/splunk/etc/auth/hec/hec.pem  # 证书路径，为证书链
sslPassword = 
# sslPassword参数可以不配置，重启Splunk后会自动生成

2.5 重启HF节点Splunk服务

切换到root用户再执行以下命令完成Splunk服务重启：

$ sudo -i
$ /opt/splunk/bin/splunk restart

正常重启输出内容如下：

03 检查证书替换状态

使用 “curl”检查HF节点 HEC替换证书状态：

$ curl https://127.0.0.1:8088/services/collector -vvv

证书替换成功后将输出如下信息：

‍