Este post orientado a animaros a todos a usar siempre que podamos servicios seguros, y Grafana por defecto se sirve a través del puerto 3000 pero el tráfico es HTTP, por tanto, no seguro; y ciertos datos como los credenciales o queries pueden ser mejor protegerlos. Así que de eso va esto hoy!

Pues lo dicho, hoy será rápidito el post, va de eso, de ponerle una capa segura y no usar HTTP en Grafana si no HTTPS. Así que eso, usemos por favorcito siempre servicios seguros, que luego vienen los sustos, aunque sean servicios internos. Venga, al tema, necesitaremos primero determinar el FQDN que tendrá, registrar este nombre en el DNS y como no, un certificado.

Así que copiamos el certificado a la máquina de Grafana, si tienes un PFX has de separarlo en dos ficheros, uno con la clave pública y otro con la privada. Un buen directorio donde dejarlos puede ser ‘/etc/ssl/certs/’. Bestela, depende de la CA que uses, puede que en el fichero crt o cer tengamos que poner toda la cadena de certificados intermedios o raíz.

openssl pkcs12 -in certificado.pfx -clcerts -nokeys -out mi_certificado.cer
openssl pkcs12 -in certificado.pfx -nocerts -nodes -out mi_certificado.key

Eta ezer, simplemente editamos el fichero de configuración ‘/etc/grafana/grafana.ini’ indicando que usaremos HTTPS y el certificado que securizará la conexión:

[server]
protocol = https
cert_file = /etc/ssl/certs/mi_certificado.cer
cert_key = /etc/ssl/certs/mi_certificado.key

Reiniciamos Grafana y listo! Podremos ya acceder por HTTPS a Grafana usando el puerto predeterminado 3000.

sudo systemctl restart grafana-server

Nada, lo dicho, post cortito con buenas prácticas y recomendaciones, que vaya muy bien, ser felices, cuidaros!