为elasticsearch设置自签SSL教程

最新推荐文章于 2024-05-26 08:33:56 发布
最新推荐文章于 2024-05-26 08:33:56 发布
阅读量449 收藏 9
点赞数 4
文章标签: elasticsearch ssl jenkins
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_15707443/article/details/137959864
版权

安装elasticsearch的docker版本,需要设置ssl,但是没有证书,能生成一个自签的证书,然后搭配到elasticsearch,生成相关ssl设置的教程

要在Elasticsearch Docker安装中使用自签名SSL证书,你可以按照以下步骤操作:

步骤 1: 安装 OpenSSL
确保你的系统上安装了OpenSSL。在大多数Linux发行版和MacOS上,OpenSSL通常已经预安装了。如果没有,你可以通过包管理器安装它。

步骤 2: 生成自签名证书
创建证书密钥:

openssl genrsa -out rootCA.key 4096


创建根证书(CA),内容随便填:

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem


创建服务器证书的密钥:

openssl genrsa -out elasticsearch.key 4096


创建证书签名请求(CSR),内容随便填:

openssl req -new -key elasticsearch.key -out elasticsearch.csr


创建配置文件以指定证书选项:
创建一个文件 v3.ext ,以包含需要的DNS和IP地址,注意ip地址一定要设置准确,不然后面无法使用,例如:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = elasticsearch
IP.1 = 127.0.0.1 #注意,如果是docker安装的一定要设置这个ip为容器ip地址,不然无法使用,可以
IP.2 = 172.17.0.2
IP.3 = 172.17.0.3  
#设置多个ip....


使用自己的CA签署SSL证书,如果ip不对的时候修改上面的v3.ext,从新运行下面的命令,然后移动到certs目录下面:

openssl x509 -req -in elasticsearch.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out elasticsearch.crt -days 500 -sha256 -extfile v3.ext


步骤 3: 设置Docker容器
在设置Elasticsearch Docker容器时,需要将证书挂载到容器内部,并配置Elasticsearch以使用这些证书。

创建一个docker-compose.yml文件,如下所示:

networks:
    1panel-network:
        external: true
services:
    elasticsearch:
        container_name: ${CONTAINER_NAME}
        deploy:
            resources:
                limits:
                    cpus: ${CPUS}
                    memory: ${MEMORY_LIMIT}
        environment:
            - discovery.type=single-node
            - ELASTIC_PASSWORD=${ELASTIC_PASSWORD}
            - ${P_ES_JAVA_OPTS}
            - xpack.security.enabled=true
            - xpack.security.transport.ssl.enabled=true
            - xpack.security.transport.ssl.verification_mode=certificate
            - xpack.security.transport.ssl.key=certs/elasticsearch.key
            - xpack.security.transport.ssl.certificate=certs/elasticsearch.crt
            - xpack.security.transport.ssl.certificate_authorities=certs/rootCA.pem
            - xpack.security.http.ssl.enabled=true
            - xpack.security.http.ssl.key=certs/elasticsearch.key
            - xpack.security.http.ssl.certificate=certs/elasticsearch.crt
            - xpack.security.http.ssl.certificate_authorities=certs/rootCA.pem
        image: docker.elastic.co/elasticsearch/elasticsearch:8.13.0 #使用那个版本就修改那个版本
        labels:
            createdBy: Apps
        networks:
            - 1panel-network
        ports:
            - ${HOST_IP}:${PANEL_APP_PORT_HTTP}:9200
        restart: always
        ulimits:
            memlock:
                hard: -1
                soft: -1
            nofile:
                hard: 65536
                soft: 65536
        volumes:
            - ./data/data:/usr/share/elasticsearch/data
            - ./data/backup:/usr/share/elasticsearch/backup
            - ./data/conf/elasticsearch.yml:/usr/share/elasticsearch/config/elasticsearch.yml
            - ./data/conf/certs:/usr/share/elasticsearch/config/certs
version: "3"

本地没有目录的,先新建相应的本地目录和文件,我的elasticsearch.yml文件配置如下:

cluster.name: "docker-cluster"
network.host: 0.0.0.0
path.repo: ["/usr/share/elasticsearch/backup"]
http.cors.enabled: true
http.cors.allow-origin: "*"
http.cors.allow-headers: X-Requested-With,Content-Type,Content-Length,Authorization


将证书和密钥放在你的项目目录中的 certs 文件夹中。

步骤 4: 启动Elasticsearch
使用 docker-compose up 命令启动Elasticsearch容器。

步骤 5: 验证并设置密码

docker ps 可以查看所有docker的信息,找到你刚刚新建的容器名修改下面的命令,进入容器

docker container exec -it <容器名> bash

#进入后运行

./bin/elasticsearch-setup-passwords auto

如果一切正常就显示如下图,如果报ip错误,则按照步骤2中的v3.ext ip设置重新设置运行后面的命令:

shenmdyw
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
kingbaseES R3 集群配置 SSL
lyu1026的博客
04-21 1248
​案例说明: 本测试是在非生产环境下,在官方没有明确声明支持KingbaseCluster使用ssl的前提下,建议只能在测试环境使用,避免生产环境下直接使用。 数据库版本: TEST=# select version(); version -------------------------...
ElasticSearch7.14配置SSL,使用https访问
fen_fen的专栏
03-03 9053
ElasticSearch7.14配置SSL,使用https访问 1、生成证书 备注:一定要在es用户中生成证书。 #1.生成elastic-stack-ca.p12文件 $./bin/elasticsearch-certutil ca #2.生成elastic-certificates.p12文件,供elasticsearch使用 $./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 #3.生成newfile.crt.pe
Elastic stack8.10.4搭建、启用安全认证,启用https,TLS,SSL 安全配置详解
最新发布
qq_53058639的博客
05-26 490
ELK大家应该很了解了,废话不多说开始部署kafka在其中作为消息队列解耦和让logstash高可用kafka和zk 的安装可以参考这篇文章。
胎教级Elasticsearch集群+安全配置+ssl配置,Kibana集群+安全配置+ssl配置
weixin_44742630的博客
09-28 6694
Elasticsearch部署及配置 1. 环境规划 IP地址 系统版本 角色 主机名 10.0.0.10 centos 8.4 es-node1 es00 10.0.0.11 centos 8.4 es-node2 es01 10.0.0.12 centos 8.4 es-node3 es02 10.0.0.15 centos 8.4 kibana-node1 kb01 10.0.0.16 centos 8.4 kibana-node2 kb02 2. 先决条件 1.
Elasticsearch SSL认证/证书制作
Bernard Han的博客
04-17 3697
转载自:Elasticsearch SSL认证/证书制作 Elasticsearch SSL认证/证书制作 - a-du - 博客园 制作目的 在上一篇《elasticsearch7.X x-pack破解》中,我们启用了x-pack模块,elasticsearch集群中,如果使用了x-pack,那么集群中的各节点之间通讯就必须安全认证。为了解决节点间通讯的认证问,我们需要制作证书。 内容简介 本文的主要内容是指导SSL制作过程。 步骤 生成证书 一、cd到es安装目录下,执行命令: cd
Elasticsearch:配置 TLS/SSL 和 PKI 身份验证
Elastic 中国社区官方博客
10-08 6648
当为使用生产许可证运行的集群启用 Elasticsearch 安全性时,必须使用 TLS/SSL 进行传输通信,并且必须正确设置。此外,一旦启用安全性,与 Elasticsearch 集群的所有通信都必须经过身份验证,包括来自 Kibana 和/或应用程序服务器的通信。 Kibana 和/或应用程序服务器向 Elasticsearch 集群进行身份验证的最简单方法是在其配置文件或源代码中嵌入用户名和密码。但是,在许多组织中,禁止在此类位置存储用户名和密码。在这种情况下,一种替代方法是使用公钥基础设施 (P
Elasticsearch 开机自启脚本
10-14
`start` 用于启动Elasticsearch,这里使用 `su` 命令切换到指定的Elasticsearch用户(例如 `es-admin`),然后进入Elasticsearch的安装目录并执行 `bin/elasticsearch` 文件以后台模式启动服务。`stop` 通过查找并杀...
ElasticSearch的完整安装教程
08-26
ElasticSearch安装教程 ElasticSearch是一款基于Lucene搜索引擎的搜索和数据分析工具,能够提供实时搜索、数据分析和报表等功能。以下是ElasticSearch的完整安装教程ElasticSearch安装步骤 1. 下载Elastic...
1.0 ElasticSearch6实战教程资料.zip
08-09
Elasticsearch(ES)6 是一个流行的、高性能的全文搜索引擎,常用于大数据分析、日志聚合、实时搜索等场景。它基于 Lucene 库,提供了分布式、RESTful 风格的 API,使得数据存储和检索变得简单高效。本教程资料是...
Elasticsearch.Net使用入门教程(1)
01-02
本文实例为大家分享了Elasticsearch.Net使用教程,供大家参考,具体内容如下 首先去官网下载Elasticsearch 2.3.4安装包,解压后,在cmd命令行进入安装目录,再进入 bin目录,运行elasticsearch.bat命令。 elastic...
ElasticSearch实战教程
07-22
"ElasticSearch实战教程" ElasticSearch是一款分布式、RESTful 风格的搜索和数据分析引擎,能够达到近实时搜索,稳定,可靠,快速,安装使用方便。客户端支持Java、.NET(C#)、PHP、Python、Ruby等多种语言。 ...
SpringBoot 自名证书使用 及 HttpClient调用自名服务器Https接口报错
u010359099的博客
08-19 1654
openssl keytool 钥匙串(mac) 都可以生成自名证书,这里不多描述。由于服务端使用自名证书,导致客户端HttpClient调用的时候报错。参考 > JDK导入自名证书且启用信任证书>这种问题是证书有问题,需要重新生成具有。功能读取受信任的证书,代码请参考。可以通过定义配置来设置相关属性。将需要添加信任的证书导入到。可以参考命令提示使用。从另一个存储库导入到。设置存储库的访问密码。
ES SSL证书配置
qq_41561707的博客
11-13 1182
这里需要注意的是,因为我们这一篇中每一台ES node使用的都是同一份elastic-stack-ca.p12证书文件,所以在xpack.security.transport.ssl.verification_mode这个配置中我们使用的是certificate模式。而如果有为每一台ES节点生成单独的证书文件的需求的话,或者说需要为为每个主机生成与DNS或IP地址匹配的不同证书的话,需要把这个模式设置为full,full模式的详情可以参考官方文档。此文件包含CA的公共证书和用于为每个节点署证书的私钥。
Elasticsearch 8.4.1 配置自名证书和启用Https
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-26 1万+
这个时候会提示你输入提取代码. for-iis.pem就是可读的文本,生成pfx的命令类似这样:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt,其中CACert.crt是CA(权威证书颁发机构)的根证书,通过-certfile参数使用;KEY:通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER。
配置https ssl elasticsearch,springboot项目中连接elasticsearch https
我怀念的
11-13 2646
elasticsearch https https
Elasticsearch+Kibana安全配置详解
qq_27639777的博客
08-04 6936
文章目录简介启用Elasticsearch安全特性配置传输层TLS/SSL加密传输设置内置用户密码配置HTTP层TLS/SSL加密传输配置Kibana到Elasticsearch的校验生成PKI客户端证书配置Kibana到Elasticsearch的校验配置Kibana UI的SSL加密传输 简介 对生产环境的Elasticsearch集群开启安全特性是必要的,而Elastic Stack已经提供...
python3连接ES(elasticsearch)时https请求处理
qq_37189286的博客
08-25 4936
python环境:python3.8.8 ES(elasticsearch)版本 7.1.1 1.进行https请求时,忽略ssl证书验证,将context赋值给ssl_context 即可 from elasticsearch import Elasticsearch #查看证书位置 import ssl ##忽视证书 context = ssl._create_unverified_context() ES =["127.0.0.1:9200"] # 创建elasticsearch客户端 es = E
java ssl elastic_es集群开启ssl后,java如何连接es集群
06-07
要连接开启了SSLElasticsearch集群,需要使用Java的TransportClient,并使用SSLContext来设置SSL连接。以下是一个简单的示例代码: ```java import org.elasticsearch.client.transport.TransportClient; import org.elasticsearch.common.settings.Settings; import org.elasticsearch.common.transport.TransportAddress; import org.elasticsearch.common.xcontent.XContentBuilder; import org.elasticsearch.common.xcontent.XContentFactory; import org.elasticsearch.transport.client.PreBuiltTransportClient; import javax.net.ssl.SSLContext; import java.net.InetAddress; import java.security.KeyStore; import java.security.SecureRandom; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.TrustManager; import javax.net.ssl.X509TrustManager; public class ESClient { public static void main(String[] args) throws Exception { Settings settings = Settings.builder() .put("cluster.name", "myClusterName") .put("xpack.security.user", "myUsername:myPassword") .put("xpack.security.transport.ssl.enabled", true) .put("xpack.security.transport.ssl.verification_mode", "certificate") .put("xpack.security.transport.ssl.keystore.path", "/path/to/keystore.jks") .put("xpack.security.transport.ssl.truststore.path", "/path/to/truststore.jks") .build(); SSLContext sslContext = SSLContext.getInstance("TLS"); KeyStore keyStore = KeyStore.getInstance("jks"); KeyStore trustStore = KeyStore.getInstance("jks"); keyStore.load(ESClient.class.getResourceAsStream("/path/to/keystore.jks"), "keystore_password".toCharArray()); trustStore.load(ESClient.class.getResourceAsStream("/path/to/truststore.jks"), "truststore_password".toCharArray()); TrustManager[] trustManagers = new TrustManager[] { new X509TrustManager() { public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {} public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {} public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } }}; sslContext.init(null, trustManagers, new SecureRandom()); TransportClient client = new PreBuiltTransportClient(settings) .addTransportAddress(new TransportAddress(InetAddress.getByName("localhost"), 9300)) .setSSLContext(sslContext); XContentBuilder builder = XContentFactory.jsonBuilder(); builder.startObject().field("name", "John").endObject(); client.prepareIndex("myindex", "mytype", "1") .setSource(builder) .get(); client.close(); } } ``` 在这个示例代码中,我们首先使用Elasticsearch的TransportClient创建了一个连接,然后设置了连接ES集群所需的一些参数。其中,`xpack.security.user`参数是用于认证的用户名和密码,`xpack.security.transport.ssl.enabled`参数设置为`true`表示开启SSL连接,`xpack.security.transport.ssl.verification_mode`参数设置为`certificate`表示只信任CA署的证书。最后,我们设置了keystore和truststore的路径,并使用SSLContext将其加载。 接下来,我们使用TransportClient发送了一个简单的索引请求,将一个JSON文档插入到名为`myindex`、类型为`mytype`、ID为`1`的索引中。 注意,这只是一个简单的示例,实际应用中还需要根据实际情况进行配置和调整。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值