Должна ли конфигурация конфигурации TLS rsyslog после истечения срока действия сертификата CA/machine?

Question

Я выполнил конфигурацию tls между двумя узлами (клиент и сервер). Я хочу знать, что произойдет, если выйдет один из сертификатов ca.pem (сертификат CA) или машинный сертификат.

rsyslog связь перестанет работать?

#$DefaultNetstreamDriver gtls 

#certificate files for a client 
#$DefaultNetstreamDriverCAFile /etc/tlscert/ca.pem 
#$DefaultNetstreamDriverCertFile /etc/tlscert/machine-cert.pem 
#$DefaultNetstreamDriverKeyFile /etc/tlscert/machine-key.pem 

#set up the action 
#$ActionSendStreamDriverMode 1 
#$ActionSendStreamDriverAuthMode anon 

Answer 1

Да. Сервер rsyslogd откажется от новых пакетов syslog, и удаленный журнал перестанет работать. Вы увидите в /var/log/[messages,syslog], сертификат которого вызывает проблему.

Кстати, я всегда использую x509/name в качестве параметра в директиве $ActionSendStreamDriverAuthMode на производственных условиях для обеспечения проверки сертификата. Я действительно не знаю, что означает этот параметр anon. Кажется, что его использование предлагается только для тестирования среды.