SplunkWebのTLS化 デフォルト証明書編

Splunk WebをTLS化します。
デフォルトではSplunk WebのTLSは無効となっているものの、TLS化するのに利用できる証明書はインストール時に自動で生成されています。
今回はこのデフォルト証明書での暗号化を行います。

なお、当該証明書はインストール時点から3年で有効期限が設定されますので、個人的な利用以外ではまず使用しないほうがいいでしょう。

利用しているSplunkはVer.8.0.2.1です。
参考URL：
Turn on encryption (https) with Splunk Web - Splunk Documentation
Turn on encryption (https) using web.conf - Splunk Documentation

Splunk WebからTLS化

adminロールを持つユーザでSplunk Webへログインします。

メニューバーの[設定]から[サーバー設定]をクリックします。

[全般設定]をクリックします。

[Splunk WebでSSL（HTTPS）を有効にしますか？]を[はい]に設定し、保存します。

※見たらわかるとは思いますが、Webのポート番号やセッションタイムアウト時間もここから設定変更可能です。

Splunkサービスを再起動します。
有効設定後にメッセージに再起動が必要な旨が通知されます。

今回はメッセージに従い、Splunk Web上からサービス再起動を実施してみます。

以前は再起動が完了すると自動で画面がリフレッシュされていたと思うのですが、このバージョンではされないようです。
※以下のように別途起動を確認後にログ見てねってメッセージが表示されてます。

ということで、サーバのローカルからSplunkサービスの起動を確認したので、画面をリフレッシュしてみます。

こんな感じでエラーが表示されましたが、これはHTTPのままアクセスしているからですね。

HTTPSに変えて再度アクセスすると、

自己署名証明書のため、証明書エラーが表示されます。

無視してアクセスすると、この通り無事表示されました。

一応証明書情報も見ておくとこんな感じです。インストールしたのが2020年3月21日なのでそこから3年に設定されているのがわかります。

コンフィグを確認

Splunk Webに関する設定はweb.confで行います。
デフォルトでは"$SPLUNK_HOME/etc/system/default/web.conf"の設定のみで、"$SPLUNK_HOME/etc/system/local/web.conf"は存在しません。

先ほどSplunk Web上から設定を変更したため、私の環境では"$SPLUNK_HOME/etc/system/local/web.conf"が作成されています。
内容を確認してみます。

$ ls -l /opt/splunk/etc/system/local/web.conf
-rw-------. 1 splunk splunk 34  4月  1 15:33 /opt/splunk/etc/system/local/web.conf

$ cat /opt/splunk/etc/system/local/web.conf
[settings]
enableSplunkWebSSL = 1

上記の通り、設定されているのは"[settings]"スタンザと"enableSplunkWebSSL=1"というパラメータの2行だけです。

TLS化に用いる証明書や秘密鍵は"$SPLUNK_HOME/etc/system/default/web.conf"側にデフォルトで設定されていて、local側で"enableSplunkWebSSL"パラメータで有効に設定するだけでTLSを利用することが可能になっているわけです。

次回は自己署名証明書を自前で作成して適用したいと思います。
今回はここまで。