Elastic stack启用安全认证,启用https

最新推荐文章于 2024-02-20 09:35:22 发布
最新推荐文章于 2024-02-20 09:35:22 发布
阅读量5.8k 收藏 17
点赞数 5
文章标签: https elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38735634/article/details/107382421
版权

一、准备

Elasticsearch集群搭建好;我使用的docker方式部署;

二、生成证书

1、进入ES主节点容器,在${ES_HOME}/bin 下执行:
./elasticsearch-certutil ca		#创建一个证书颁发机构

再执行:

./elasticsearch-certutil cert --ca elastic-stack-ca.p12

elastic-stack-ca.p12 就是上一步生成的(默认就在当前目录中)
此时在当前目录生成名为 elastic-certificates.p12 的文件,它是单个PKCS#12密钥存储库,其中包括节点证书、节点密钥和CA证书。默认情况下,elasticsearch-certutil 生成没有主机名信息的证书(也就是说,它们没有任何主题可选名称字段)。这意味着可以对集群中的每个节点使用此证书,但您必须关闭主机名验证。
将其从容器中拷贝出来。

备注:elasticsearch-certutil 的更多用法和参数,请参照:https://www.cnblogs.com/sanduzxcvbnm/p/12053850.html

2、生成PKI客户端证书,供KIbana等组件到ES的校验使用

PKI身份验证的证书必须由与用于加密HTTP通信的证书相同的CA进行签名。因此我们直接使用拷贝出的 elastic-certificates.p12,在主机上执行:

# Private Key 私钥
openssl pkcs12 -in elastic-certificates.p12 -nocerts -nodes > client.key
# Public Certificate 公共证书
openssl pkcs12 -in elastic-certificates.p12 -clcerts -nokeys  > client.cer
# CA Certificate 签署公共证书的CA
openssl pkcs12 -in elastic-certificates.p12 -cacerts -nokeys -chain > client-ca.cer
3、分发证书文件

将生成的 client.key、client.cer、client-ca.cer 以及 elastic-certificates.p12文件拷贝进(或者另起容器-v挂载进)各个ES节点的${ES_HOME}/config/目录下;
也要拷贝进 kibana 容器的${KIBANA_HOME}/config/certs/目录下;
也要拷贝进logstash容器的${LOGSTASH_HOME}/config/目录下
其实可以拷贝进任意目录,只要后面配置文件中指定正确就行

注意,在这之前先将这些文件 chmod 777

三、各组件配置文件详情

1、elasticsearch.yml
# 集群配置-主节点
cluster.name: "hnjt-es-cluster"
node.name: esm1
network.bind_host: 0.0.0.0
network.publish_host: 192.168.10.180
http.port: 9201
transport.tcp.port: 9301
http.cors.enabled: true
http.cors.allow-origin: "*"
node.master: true
node.data: false
discovery.zen.ping.unicast.hosts: ["192.168.10.180:9301"]
discovery.zen.minimum_master_nodes: 1

# 加密节点间通信-每个节点容器都要添加
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate		#只验证证书是否受信任,不执行主机名验证。还可以设置成 full(还要验证主机名)、none(不验证证书)
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12		#指定证书
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12		#将密钥存储库也用做信任存储库

# 加密http通信-每个节点容器都要添加
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12		#指定使用的证书
xpack.security.http.ssl.truststore.path: elastic-certificates.p12		#密钥存储库包含CA证书,因此也可以用作信任存储库
2、kibana.yml
server.port: 5601
server.host: 0.0.0.0
elasticsearch.hosts: ["https://192.168.10.180:9201"]

# 配置连接ES
xpack.security.enabled: true
elasticsearch.ssl.verificationMode: certificate		#不验证主机名
elasticsearch.ssl.certificate: /usr/share/kibana/config/certs/client.cer		#指定证书
elasticsearch.ssl.key: /usr/share/kibana/config/certs/client.key		#指定私钥
elasticsearch.ssl.certificateAuthorities: ["/usr/share/kibana/config/certs/client-ca.cer"]		#指定受信任的公共证书
elasticsearch.username: "username"
elasticsearch.password: "password"

# 使用https访问kibana
server.ssl.enabled: true
server.ssl.certificate: /usr/share/kibana/config/certs/client.cer
server.ssl.key: /usr/share/kibana/config/certs/client.key
3、logstash.conf

只摘取 output 部分,其他无特别

output {
  stdout {
    codec => rubydebug
  }
  elasticsearch {
    hosts => ["https://192.168.10.180:9201"]
    ssl => true		#启用ssl/tls安全通信
    ssl_certificate_verification => false		#是否验证证书。在实际实验中我认为官网的介绍是错误的,应该是是否验证主机名,证书还是要验的
    cacert => "/usr/share/logstash/config/client-ca.cer"		#验证服务器证书的.cer或.pem文件
    index => "logstash-%{+YYYY.MM.dd}"
    user => "username"
    password => "password"
  }
}
4、metricbeat.yml

output.elasticsearch部分:

output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["https://192.168.10.180:9201"]
  username: "metricbeat-write"
  password: "123456"
#  protocol: "https"
  ssl.enabled: true
  ssl.verification_mode: none		#是否验证服务器的证书和主机名。none:接受所有证书和主机名;full:验证证书和主机名。只有这两个值,设置为none的话,下面3个配置可以不添加
  ssl.certificate_authorities: "/data/elk/es_dev/metricbeat/client-ca.cer"
  ssl.certificate: "/data/elk/es_dev/metricbeat/client.cer"
  ssl.key: "/data/elk/es_dev/metricbeat/client.key"

四、遇到的问题

1、PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

这是启动 logstash 时遇到的问题
原因是 在 logstash.conf 中虽然配置了 ssl_certificate_verification => false ,但是没配置 cacert => “/usr/share/logstash/config/client-ca.cer”。个人认为官网上对 ssl_certificate_verification 参数的介绍是错误的

2、cannot validate certificate for because it doesn’t contain any IP SANs

这是启动 metricbeat 时遇到的问题
原因:metricbeat 默认需要的证书要包含ip或主机名。而我生成证书没包含主机名和IP。
解决:如上,在 metricbeat.yml 中添加 ssl.verification_mode: none

3、[Error connection to Elasticsearch https://192.168.10.180:9201: 401 Unauthorized…“type”:“security_exception”,“reason”:“failed to authenticate user [elastic]”…

这是启动 metricbeat 时遇到的问题
原因:密码中含有符号 ‘$’ ,在yml文件和url里属于特殊字符,怀疑是这个原因。但是logstash.conf文件使用此密码没有问题。
解决:分别尝试用单引号、双引号、转义符、ASCII码来设置密码,都没有成功。更改密码为字母与数字就好了

五、java 连接elasticsearch

1、pom依赖
    <dependencies>
        <dependency>
            <groupId>org.elasticsearch.client</groupId>
            <artifactId>transport</artifactId>
            <version>6.8.10</version>
        </dependency>
        <dependency>
            <groupId>org.elasticsearch</groupId>
            <artifactId>elasticsearch</artifactId>
            <version>6.8.10</version>
        </dependency>
        <dependency>
            <groupId>org.elasticsearch.client</groupId>
            <artifactId>elasticsearch-rest-high-level-client</artifactId>
            <version>6.8.10</version>
        </dependency>
    </dependencies>
2、导包
import org.apache.http.HttpHost;
import org.apache.http.auth.AuthScope;
import org.apache.http.auth.UsernamePasswordCredentials;
import org.apache.http.client.CredentialsProvider;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.apache.http.impl.nio.client.HttpAsyncClientBuilder;
import org.elasticsearch.action.main.MainResponse;
import org.elasticsearch.client.RequestOptions;
import org.elasticsearch.client.RestClient;
import org.elasticsearch.client.RestClientBuilder;
import org.elasticsearch.client.RestHighLevelClient;
import org.apache.http.ssl.SSLContextBuilder;
import org.apache.http.ssl.SSLContexts;
import javax.net.ssl.SSLContext;
import java.io.IOException;
import java.io.InputStream;
import java.nio.file.Files;
import java.nio.file.Path;
import java.nio.file.Paths;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.cert.CertificateException;
3、代码
final CredentialsProvider credentialsProvider = new BasicCredentialsProvider();

        credentialsProvider.setCredentials(AuthScope.ANY, new UsernamePasswordCredentials("elastic", "P@$$W0rd"));

        Path keyStorePath = Paths.get("G:\\TLS\\elastic-certificates.p12"); //密钥存储库
        String keyStorePass = "";       //库的密码
        KeyStore truststore = KeyStore.getInstance("jks");
        try (InputStream is = Files.newInputStream(keyStorePath)) {
            try {
                truststore.load(is, keyStorePass.toCharArray());
            } catch (CertificateException e) {
                e.printStackTrace();
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        SSLContextBuilder sslBuilder = null;
        try {
            sslBuilder = SSLContexts.custom().loadTrustMaterial(truststore, null);
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (KeyStoreException e) {
            e.printStackTrace();
        }
        final SSLContext sslContext = sslBuilder.build();


// HttpHost 可以添加多个。new HttpHost("localhost", 19200, "http"),new HttpHost("localhost", 19201, "http")

        RestHighLevelClient client = new RestHighLevelClient(

                RestClient.builder(new HttpHost("192.168.10.180", 9201, "https"))

                        .setHttpClientConfigCallback(new RestClientBuilder.HttpClientConfigCallback() {

                            public HttpAsyncClientBuilder customizeHttpClient(HttpAsyncClientBuilder httpClientBuilder) {

                                httpClientBuilder.disableAuthCaching();

                                httpClientBuilder.setDefaultCredentialsProvider(credentialsProvider);
                                return httpClientBuilder
                                        .setSSLContext(sslContext)
                                        .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE);	//不验证主机名



                            }

                        }));

        // 测试连接
        try {

            MainResponse res = client.info(RequestOptions.DEFAULT);

            System.out.println(res.getClusterName());

            System.out.println(res.getVersion());

        } catch (IOException e1) {

            e1.printStackTrace();

        }
        client.close();
新氧气
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
精通ElasticStack
07-23
资源名称:精通Elastic Stack 内容简介:本书系统论述了Exadata原理、架构及其实施运维实践。全书分为4章,分别对应Exadata实施运维中的四个不同主题。第1章为Exadata刷机安装,简要地介绍Exadata的历史和软硬件架构,为后续运维打好基础;  同时详细讲解Exadata的各种刷机工具、刷机方式和安装初始化步骤; *后手把手地教授如何搭建*版本的Exadata虚拟环境。第2 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
Beginning.Elastic.Stack
12-20
This book teaches you how to install, configure and implement the Elastic Stack (Elasticsearch, Logstash and Kibana) – the invaluable tool for anyone deploying a centralized log management solution for servers and apps. Supported by Puppet and available with various plugins, Elastic Stack is the best option for your server log management. You will learn how to use and configure Elastic Stack independently and alongside Puppet. Each chapter includes real-world examples and practical troubleshooting tips, enabling you to get up and running with Elastic Stack in record time. Fully customizable and easy to use, Elastic Stack enables you to be on top of your servers all the time, and resolve problems for your clients as fast as possible. Get started with it using this book today. What You Will Learn How to install and configure Logstash How to use Logstash with Elasticsearch and Kibana How to use Logstash with Puppet and Foreman How to centralize data processing Who This Book Is For Beginning Elastic Stack is for anyone working on multiple servers who needs to search their logs using a web interface. It is ideal for server administrators who have just started their job and need to look after multiple servers efficiently. Table of Contents Chapter 1: Getting Started with Logstash Chapter 2: Getting Started with Elasticsearch Chapter 3: Getting Started with Kibana Chapter 4: Working with Remote Servers Chapter 5: Configuring Logstash for Services and System Logs Chapter 6: Graphite Monitoring and Graphs Chapter 7: Configuring Elasticsearch Watcher Chapter 8: Securing the ELK Stack with Shield Chapter 9: Logstash Plug-ins Chapter 10: Managing the ELK Stack with Puppet and Foreman
Elastic stack8.10.4搭建、启用安全认证启用https,TLS,SSL 安全配置详解
最新发布
Innocence_0的博客
02-20 1311
ELK大家应该很了解了,废话不多说开始部署kafka在其中作为消息队列解耦和让logstash高可用kafka和zk 的安装可以参考这篇文章。
Elastic Stack.zip
06-23
自测好用,请大佬们警惕部分博主用源码包或其他包代替程序包。避免上当
elasticstack部署完全版
09-19
elasticstack部署完全版,包含HA的方式(kafka缓存日志的方式)
Elastic使用Kafka部署Elastic Stack
01-20
在今天的文章中,我来讲述如何使用Kafka来部署Elastic Stack。下面是我们最常用的一个Elastic Stack的部署方案图。 在上面我们可以看出来Beats的数据可以直接传入到Elasticsearch中,但是我们也可以看到另外一条路径,也就是Beats的数据也可以传入到Kafka中,并传入到 Logstash 中,最终导入到Elasticsearch中。那么为什么我们需要这个Kafka呢? 日志是不可预测的。 在发生生产事件后,恰恰在您最需要它们时,日志可能突然激增并淹没您的日志记录基础结构。 为了保护Logstash和Elasticsearch免受此类数据突发攻击,用户部署
【Docker】Docker Elasticsearch7 加装安全认证插件
Kida 的技术小屋(CSDN 版)
02-19 1503
之前文章中我们已经完成了Docker版本的Elasticsearch部署,为了增强安全性在此为Elasticsearch安装安全认证插件(2018年全球大规模的Elasticsearch攻击历历在目)。由于之前部署的Elasticsearch是Docker版本,本次也基于Docker版本进行说明。 为了简化操作步骤,这边将配合使用Docker Desktop(以下简称“DD”)来进行Docker操作(对应回脚本操作也是非常方便的,有空将重新整理出来)。首先打开DD的Dashbroad界面。在界面上选择对应的
Elasticsearch启用验证
qq_39572257的博客
10-31 1755
Elasticsearch启用验证
Elastic:为 Elasticsearch 启动 HTTPS 访问
热门推荐
Elastic 中国社区官方博客
03-23 2万+
在今天的文章中,我们来介绍如何使我们的Elasticsearch启动https服务。这个在很多的场合是非常有用的。特别是在Elastic SIEM的安全领域,我们需要把Elasticsearch的访问变为https的访问,这样使得我们的数据更加安全可靠。 安装Elastic Stack 首先,我们可以按照之前的文章“Elastic:菜鸟上手指南” 安装Elasticsearch及Kiba...
Elasticsearch:如何创建 Elasticsearch PEM 和/或 P12 证书
Elastic 中国社区官方博客
08-08 3462
你是否希望使用 SSL/TLS 证书来保护你的 Elasticsearch 部署?在本文中,我们将指导你完成为 Elasticsearch 创建 PEM 和 P12 证书的过程。这些证书在建立安全连接和确保 Elasticsearch 集群的完整性方面发挥着至关重要的作用。友情提示:你可以选择其中一种方法来在你的环境中创建和使用证书
ELK生成PEM格式的ca证书、设置Https使用Elasticsearch Java Client连接
特别享受思考问题的过程
05-28 2544
文章目录前提条件生成CA证书根据CA证书生成用于各个节点通信加密的证书为其他组件Kibana、Logstash生成证书配置elasticsearch.yml配置kibana.yml配置logstash.confJava代码使用HTTPS连接ES为什么使用ca.crt而不是官方推荐的ca.p12?官方文档 前提条件 本地下载安装好Elasticsearch、Kibana、Logstash,并可以正常启动 本文所使用的ELK的版本为8.2.0 Elasticsearch 8.2.0 版本,安装好之后
elasticsearch集群添加安全认证功能(添加访问密码)
web15085181368的博客
03-25 3584
一、前言 在 6.8 之前免费版本并不包含安全认证功能,之后版本有开放一些基础认证功能;为了防止各种事故,一般都会设置es集群的访问密码;但是在我尝试设置访问密码的时候发现,设置访问密码的前提必须要设置集群证书,不然es启动报错。 关于设置证书的作用,简单来说就是在集群内定各个es节点都必须持有相同的证书,如果某个es的恶意节点想加入你的集群,那么它也必须有要相同的证书,这就可以防止别人恶意创建节点加入你的集群了。 本例子使用elasticsearch v7.2.0为例 二、具体步骤 1、编辑elastic
06_Elasticsearch 7.4.2集群部署以及X-Pack 安全配置(Es、kibana)【超详细版】
华星详谈的博客
11-19 4135
本文章收录于【Elasticsearch系列】,将详细的讲解 Elasticsearch 整个大体系,包括但不限于ELK讲解、ES调优、海量数据处理等。在之前的文章中有讲解es的单机部署...
关于启动ElasticSearch-head-master启动失败的问题处理:Fatal error: Unable to find local grunt
qq_39941165的博客
12-23 7393
启动ElasticSearch-head-master启动失败的问题处理 今天在学习使用Elastic Search的过程中,需要使用到了一个插件ElasticSearch-head-master的工具来管理和监听Elastic Search的健康状态和相关的索引情况。 于是我安装好了Es、安装好了node.js,下载好了ElasticSearch-head-m...
Docker安装es
懒癌晚期大脸萌的博客
05-06 1077
# es 暴露的端口很多 # es 十分耗内存 # es 的数据一般需要放置到安全的目录!(通过挂载) # 启动es docker run -d --name elasticsearch --net somenetwork -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" elasticsearch:tag # 解释 --net somenetwork ? 网络配置 (后期学,先去掉) "discovery.type=sing.
Searchguard 管理 ELK (Elasticsearch Logstash Kibana)
taylorgogo
11-18 819
##########遇到的问题############### @ logstash 到 elasticsearch HTTPs 连接报错 [2019-11-14T01:01:47,315][WARN ][logstash.outputs.elasticsearch] Attempted to resurrect connection to dead ES instance, but ...
Elasticsearch使用不同的 CA 更新安全证书 (一)
Elastic 中国社区官方博客
07-26 6676
如果你必须添加组织中的新 CA 证书,或者你需要自己生成新 CA,请使用此新 CA 签署新节点证书并指示你的节点信任新 CA 证书。在今天的展示中,我将来演示如何更新一个 Elasticsearch 8.x 集群的 CA 证书。...............
elasticsearch安全通讯配置要点(es 8.5.1)
MaxSamMax的博客
11-28 3247
如果首次使用yum或者rpm按装elasticsearch服务器,安装程序会自动进行安全配置,并生成几个安全配置需要的文件,如ca的keystore、用于http加密通讯的keystore(http.p12)等,这些最好保留下来,当然,你也可以用它提供的证书工具在后面自行创建。./bin/elasticsearch-certutil cert --name fleet-server --ca-cert 路径/ca.crt --ca-key 路径/ca.key。
ElasticSearch启用认证需要licence吗
05-31
不需要。在Elasticsearch 6.8及更高版本中,启用认证不需要许可证(license)。但是,在Elasticsearch 7.0及更高版本中,如果要使用安全特性(如加密、角色或者审计日志等),则需要启用许可证。许可证是免费的,可以在Elasticsearch的官方网站上注册获取。在安装Elasticsearch时,可以将许可证文件放置在config目录下,然后在Elasticsearch的配置文件中指定许可证文件的路径即可启用安全特性。 需要注意的是,启用认证会对Elasticsearch的性能产生一定的影响,因为每个请求都需要进行身份验证。因此,在生产环境中,应该根据实际情况来选择是否启用认证,并且要注意调整相关配置以提高性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值