ES证书认证相关笔记

最新推荐文章于 2024-06-19 16:55:32 发布
最新推荐文章于 2024-06-19 16:55:32 发布
阅读量2.4k 收藏 8
点赞数 1
分类专栏: ElasticSearch 文章标签: elasticsearch https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Loser_you/article/details/125230178
版权

由于自己颁发的证书,浏览器识别为不安全,当遇到不能访问时,可以采用以下方法试试:

image-20220611002901529

方法:点击页面空白处,输入badidea或者thisisunsafe。页面会自动刷新。

一、集群间节点认证

  1. 生成ca证书

    bin/elasticsearch-certutil ca

    可以设置密码

  2. 生成elastic-certificates.p12证书

    bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

    如果ca证书设置了密码,该命令执行后,需要输入ca证书的密码

    该证书本身也可以设置密码

    在以上两步执行完成之后,会得到以下文件

    elastic-certificates.p12  elastic-stack-ca.p12

  3. 如果ca证书和elastic-certificates.p12证书设置了密码

    则需要执行以下命令

    bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password    
bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

    在执行每行命令之后,都需要输入ca证书的密码

  4. 将证书拷贝到每个节点的config/certs目录下

  5. 配置elasticsearch

    xpack.security.enabled: true
xpack.security.transport.ssl:
  enabled: true
  verification_mode: certificate
  keystore.path: certs/elastic-certificates.p12
  truststore.path: certs/elastic-certificates.p12

  6. 启动es

  7. 访问es

    curl http://localhost:9200

    注:此时还没有为es设置访问的https,只是设置了集群内部通信的加密

    此时应修改elastic的初始化密码和kibana的密码

    ./bin/elasticsearch-reset-password -i -u kibana
./bin/elasticsearch-reset-password -i -u elastic

  8. 设置外部访问es,使用https

    如果ca证书设置了密码,则需要执行以下命令,并在命令执行之后,输入ca证书的密码

    bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password    
bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

    在es配置文件中,添加以下配置

    xpack.security.http.ssl:
  enabled: true
  keystore.path: certs/elastic-certificates.p12

  9. 如果遇到更新geoip库失败,则关闭它

    ingest.geoip.downloader.enabled: false

二、配置kibana访问es

  1. 生成crt证书文件

    在es的证书目录下,执行以下命令

    cd config/certs
openssl pkcs12 -in elastic-stack-ca.p12 -out kibana.crt.pem -clcerts -nokeys

    该命令会生成一个证书kibana.crt.pem

    将该证书移动到kibana的配置目录下

  2. 配置kibana

    elasticsearch.username: "kibana"
elasticsearch.password: "XXXX you know, kibana password"

elasticsearch.ssl.certificateAuthorities: ["config/kibana.crt.pem"]
elasticsearch.ssl.verificationMode: none

  3. 启动kibana,访问kibana

    http://localhsot:5601

三、设置外部访问kibana使用https

  1. 生成证书和私钥

    在es目录下执行以下命令

    ./bin/elasticsearch-certutil csr -name kibana-server -dns example.com, localhost


    ./bin/elasticsearch-certutil csr -name kibana-server -ip 127.0.0.1

    注:该证书只能是dns或ip后面的地址来访问

    该命令执行完毕后,会生成一个压缩包csr-bundle.zip

  2. 移动证书

    将压缩包解压后,将里面的文件移动到kibana的配置目录下

    在压缩包中有两个文件

    kibana-server.csr  kibana-server.key

  3. 生成 kibana-server.crt 文件

    在kibana的配置目录下,执行以下命令

    openssl x509 -req -in kibana-server.csr -signkey kibana-server.key -out kibana-server.crt

    该命令会生成kibana-server.crt文件

  4. 修改kibana配置文件

    添加以下内容

    server.ssl.enabled: true
server.ssl.certificate: config/kibana-server.crt
server.ssl.key: config/kibana-server.key

  5. 重启kibana,访问kibana

    https://localhost:5601
coder_xiaoyou
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticSearch笔记
11-20
ElasticSearch,简称为ES,是一个开源的、高度可扩展的分布式全文检索引擎。它基于 Java 开发,并利用 Lucene 作为其核心,实现了高效索引和搜索功能。ElasticSearch 通过Resultful API简化了与Lucene的交互,隐藏了...
ES开启安全认证
w2909526的博客
11-23 1164
elasticsearch开启安全认证步骤。2.根据生成的证书创建秘钥。4.启动es并创建密码。至此ES开启认证完成。
Elasticsearch:使用不同的 CA 更新安全证书 (一)
Elastic 中国社区官方博客
07-26 7150
如果你必须添加组织中的新 CA 证书,或者你需要自己生成新 CA,请使用此新 CA 签署新节点证书并指示你的节点信任新 CA 证书。在今天的展示中,我将来演示如何更新一个 Elasticsearch 8.x 集群的 CA 证书。...............
生成和配置ES的安全证书
最新发布
u011250186的博客
06-19 108
生成和配置ES的安全证书
单机多节点 elasticsearch 集群安全认证
干就完了!!!
06-12 2339
es 集群安全认证
Elasticsearch:如何创建 Elasticsearch PEM 和/或 P12 证书
Elastic 中国社区官方博客
08-08 4392
你是否希望使用 SSL/TLS 证书来保护你的 Elasticsearch 部署?在本文中,我们将指导你完成为 Elasticsearch 创建 PEM 和 P12 证书的过程。这些证书在建立安全连接和确保 Elasticsearch 集群的完整性方面发挥着至关重要的作用。友情提示:你可以选择其中一种方法来在你的环境中创建和使用证书
Elastic栈配置安全 - 基础安全配置(生产环境)
大怀特的博客
12-14 554
在最少安全配置增加密码保护之后 ,需要配置TLS. 传输层处理所有内部通讯在集群中的所有节点. 重要:如果你的集群有多个节点,一定在每个节点配置TLS,生产模式下如果没有配置TLS,集群不能启动. 传输层依赖在相互的TLS为节点间加密和认证.正确的应用TLS确保恶意节点加入集群交换数据和其它节点.当实现用户和密码认证在HTTP层,对本地集群安全是非常有用的,节点间安全通讯需要 TLS. 配置TLS在不同节点是基础的安全配置,来阻止未授权节点访问集群. 了解传输环境 传输层安全(Transport Lay
Elasticsearch开启用户验证
qq_39572257的博客
10-31 1820
Elasticsearch开启用户验证
elasticsearch自学笔记
03-19
### Elasticsearch自学笔记知识点详解 #### 一、环境搭建与配置 **1.1 系统环境** - **背景说明:** 由于特定系统的限制(如ngtos2.6禁止新增非root用户),需要采取特殊措施确保Elasticsearch能在非root用户下...
(狂神)ElasticSearch快速入门笔记ElasticSearch基本操作以及爬虫(Java-ES仿京东实战)
04-18
(狂神)ElasticSearch快速入门笔记ElasticSearch基本操作以及爬虫(Java-ES仿京东实战),包含了小狂神讲的东西,特别适合新手学习,笔记保存下来可以多看看。好记性不如烂笔头哦~,ElasticSearch,简称eses是一个...
es安全加密认证之生成证书工具
11-04
在IT行业中,尤其是在大数据搜索和分析领域,Elasticsearch(简称ES)是一个广泛使用的开源搜索引擎。为了确保数据的安全性,特别是在处理敏感信息时,ES提供了安全加密认证功能。Search Guard是ES的一个第三方安全...
Elastic认证含金量高吗?关于Elastic认证考试的一系列解惑
Elastic开源社区
04-15 5802
引言 不到半年时间,我已经带领了社区近百位“勇士”通过了Elastic认证考试。几乎每周都有至少 2 ~ 3 为勇士拿到Elastic认证工程师 的认证证书。每一位的证书都可在社区星球查看。这一张张的证书,表面上是一股荣耀。背后却充满了各种各样的感人故事和辛酸历程。 半年的时间里,有辛酸也有泪水。我也曾遇到过很多棘手的问题。也曾被人误解和不看好。这本是个大好的时代,你我皆处于和平年代,我们每个人几乎都不会为“下一顿饭吃不吃得饱”而整日担忧。 纵然疫情当下,但幸而吾辈皆为华夏儿女,祖国已是地球上最安全的地方。
es用户认证与鉴权入门配置
epitomizelu的专栏
05-29 6613
https://www.jianshu.com/p/d021661c9b6a https://blog.csdn.net/fxtxz2/article/details/105707317/ https://www.mcabana.com/archives/2107.html xpack.security.enabled: true 一,在elasticsearch.yml文件中配置 xpack.security.enabled: true xpack.security.transport.ssl.enabl
ElasticSearch 集群添加用户安全认证功能(设置访问密码)
小楼一夜听春雨,深巷明朝卖杏花
04-15 1482
在6.8之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能;为了防止各种事故,一般都会设置es集群的访问密码;但是在我尝试设置访问密码的时候发现,设置访问密码的前提必须要设置集群证书,不然es启动报错。关于设置证书的作用,简单来说就是在集群内定各个es节点都必须持有相同的证书,如果某个es的恶意节点想加入你的集群,那么它也必须有要相同的证书,这就可以防止别人恶意创建节点加入你的集群了。本例子使用elasticsearchv7.2.0为例(1)生成 TLS 和身份验证。
认知篇:Elastic认证工程师,完全解读
热门推荐
Elastic开源社区
08-22 1万+
Elastic认证是什么? Elastic认证,即:Elastic Certified Engineer(Elastic认证工程师),官方的解释是Elastic官方推出的对于Elasticsearch技术的专家认证。国内多位一线大厂高级架构师、CTO都表示对此认证十分认可。 认证者需要通过ELastic官方的认证专家考试,费用为400美元。用一句话来概括,就是用400美元证明你很屌(前提是通过考试)。证书就是下面这个样子: 官方FAQ地址:https://www.elastic.co/cn/trainin
01.elasticsearch-security_es鉴权机制
寒夜
06-27 8190
1.概述   es 官方有security开启的操作流程,这篇文章的主要是为了搞清楚这些流程中的每一步是否必要,有什么含义。 先总结官方步骤如下 检查使用license,因为不同的license能够使用的权限验证方式也是不一样的。 检查集群,保证每一个node都进行了设置 xpack.security.enabled: true 这个会开启security设置,也就开启了node之间使用ssl和基于用户的访问模式 想要跑在专用的jvm上(这个一般用不到) 开启node之间的transport层面的ssl/
Elasticsearch基础3——密钥库工具、证书生成工具及四种生成模式、https请求步骤流程
百慕卿君博客
02-04 6466
1.密钥库工具的使用。 2.证书生成工具使用、四种生成模式。 3.https请求步骤流程
ElasticSearch 8.12.0 K8S部署实践【超详细】【一站式】
fireshark
02-23 3569
近日在k8s上部署了一个ES8.12.0的集群,在部署过程中,发现无论是官方、还是网上的文章,都没有一站式能搞定的(官网文档非常碎片化,出了问题只能去官网的问题反馈去查,网上的其他文章可能是版本的问题与最新版ES不太适配),因此把我的部署过程整理分享出来,希望能帮到需要的同学。
10、全文检索 -- Elasticsearch -- 介绍、下载、安装、配置、开启权限认证、为 Elasticsearch 启用 SSLHTTPS 支持
Java 领域技术分享
02-19 1644
全文检索 -- Elasticsearch -- 介绍、下载、安装、配置、开启权限认证、为 Elasticsearch 启用 SSLHTTPS 支持
如何快速拿下elasticsearch认证证书
02-06
想要快速拿下 Elasticsearch 认证证书,你可以考虑以下几种方式: 1. 先查看 Elasticsearch 官方文档,了解认证考试的大纲和要求,然后结合官方的认证指南进行学习。 2. 参加 Elasticsearch 的在线或者面接培训,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值