-
进入 ElasticSearch 根目录
-
为集群创建认证机构,同一集群的认证机构需要相同
bin/elasticsearch-certutil ca # 执行命令后会有两次输入,第一次为CA文件名,第二次为密码(密码1) # 建议依次输入回车(文件使用默认名,不设置密码) # 执行完会在ES根目录生成 elastic-stack-ca.p12 文件(默认文件名)
-
为节点颁发证书
bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12 # 执行命令后会有三次输入 # 第一次输入为CA密码(密码1) # 第二次输入为证书文件名,建议直接回车(使用默认文件名) # 第三次输入为证书密码(密码2) # 执行完会在ES目录生成 elastic-certificates.p12 文件(默认文件名)
-
使用keystore保存证书密码
bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password # 如果没有创建 keystore 文件,会提示是否创建,输入y即可(文件默认创建在elasticsearch.yml 同级目录下) # 然后输入证书密码(密码2) # 经测试证书密码(密码2)为空的时候,可以省略这一步
-
将生成的 ca文件和证书文件移动到config目录,然后重启es服务
mv elastic-certificates.p12 config/ mv elastic-stack-ca.p12 config/ # 命令示例为默认文件名 # 经测试,elastic-stack-ca.p12 文件可以不保留
-
为集群中其他节点颁发证书
# 有两种方法,任一都可以 # 1.进入集群中其他节点 ES 目录,拷贝步骤2生成的 CA 文件到 ES 根目录,然后重复步骤3,4,5 # 2.登录其他es应用用户,拷贝步骤3生成的证书文件和 keystore 文件,放到 ES config 目录,然后重启es服务
ElasticSearch 7.10.2 搭建集群时配置证书
最新推荐文章于 2024-08-14 12:16:30 发布