Splunkがデフォルトで用意しているサーバー証明書(server.pem)は、Splunkインストール後、最初にSplunkサービスを起動したタイミングで作成されます。

このサーバー証明書の失効日は最初に起動した日付から起算して3年後となります。失効日が近づいた場合、下記の手順でサーバー証明書を更新することが可能です。

server.pemの更新手順

• $SPLUNK_HOME/etc/auth フォルダ配下にある現在のserver.pem を一旦、$SPLUNK_HOME外のディレクトリより退避します。

※$SPLUNK_HOMEはインストールディレクトリです。デフォルトでは以下の通りです。

Linux :
Splunk Enterprise : /opt/splunk
Universal Forwarder : /opt/splunkforwarder
Windows :
Splunk Enterprise : C:\Program Files\Splunk
Universal Forwarder : C:\Program Files\SplunkUniversalForwarder

• Splunkサービスを再起動します。

コマンド例：

$SPLUNK_HOME/bin/splunk restart

• 再起動後、$SPLUNK_HOME/etc/authに新しいserver.pemが作成されていることを確認します。

※新しく作成したserver.pemの失効日は、$SPLUNK_HOME/etc/auth で下記のコマンドを実行することで確認ができます。

openssl x509 -enddate -noout -in server.pem