28 Apr

Splunk default root certificaat verloopt op 21 juli

Splunk praat standaard naar zijn managementpoorten via SSL en maakt hiervoor gebruik van een default self signed root certificaat dat met de software wordt meegeleverd. Een nadeel van dit soort certificaten is dat deze een beperkte houdbaarheid hebben. Op het moment dat ze verlopen, stokt alle communicatie die hiervan gebruik maakt. Goed om te weten is daarom, dat het certificaat van alle Splunk componenten van een versie ouder dan 6.3 op 21 juli 2016 zal verlopen.

SecurityWaar gebruikt Splunk het default root certificaat voor?

Het default root certificaat wordt gebruikt om alle certificaten te genereren waarmee Splunk over een managementpoort communiceert. Voorbeelden hiervan zijn het proces om apps te deployen met een Deployment Server, maar ook het managen van een Index Cluster. Daarnaast wordt in de Splunk GUI voornamelijk het REST protocol gebruikt wat weer op de management poort van Splunk verbindt en standaard over SSL loopt.

Waarop heeft dit vanaf 21 juli impact?

Alle installaties met een Splunk versie ouder dan 6.3 hebben hier mee te maken. Dit geldt voor alle vormen van Splunk, inclusief de Universal Forwarder. Uiteraard alleen indien er gebruik gemaakt wordt van default certificaten.

Het doorsturen van data via Universal Forwarders, mits geen SSL gebruikt wordt met een default root certificaat, zal blijven functioneren. Het beheren van de machines zal echter handmatig moeten gebeuren.

Welke acties moeten worden ondernomen?

Er zijn drie manieren om hierop te acteren:

  • Blijf op de huidige geïnstalleerde versie en voer handmatig een vernieuwing van het root certificaat uit. Dit kan gedaan worden met het volgende script van Splunk. Let daarbij op dat dit script alleen het default root certificaat van Splunk vervangt middels een nieuw (gekloond) certificaat met een verloopdatum die zich verder in de toekomst bevindt.
  • Upgrade alle instanties van Splunk naar versie 6.3 of hoger en vervang de oude default certificaten met eigen certificaten voor alle encryptie. Dit is de meest veilige optie, maar maakt een installatie wat complexer. In de volgende Splunk .CONF2015 presentatie en video (recorded presentatie) vind je hier meer informatie over.
  • Upgrade alle instanties van Splunk naar versie 6.3 of hoger en gebruik de nieuwe default certificaten van Splunk.

Mocht je hier meer over willen weten, dan verwijzen we je graag naar de berichtgeving hierover op Splunk Answers. Uiteraard kun je daarvoor ook terecht bij een van onze Splunk specialisten.

Geplaatst door Quincey ten Kroode op 28/04/2016, 21:16 0 reacties
Labels: , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

*