ElasticSearch-7.17.24设置密码及CA证书

集群概览

主机名 系统 版本
es01 CentOS_7.6-aaarch64 ElasticSearch-7.17.24
es02 CentOS_7.6-aaarch64 ElasticSearch-7.17.24
es03 CentOS_7.6-aaarch64 ElasticSearch-7.17.24

需求

将ElasticSearch集群从开源版本升级为具备安全认证功能的版本(如X-Pack),为集群配置SSL/TLS加密并启用安全认证。

实施过程

生成证书

创建 CA 证书

首先,创建一个CA(Certificate Authority)证书,用于签发集群中的节点证书。执行以下命令:

bash 复制代码
su es
cd  /data/elasticsearch-7.17.24/bin
./elasticsearch-certutil ca

执行过程中会提示:

  • Please enter the desired output file [elastic-stack-ca.p12]: 直接回车,生成默认文件名 elastic-stack-ca.p12
  • Enter password for elastic-stack-ca.p12: 密码可为空,直接回车。

生成的 elastic-stack-ca.p12 文件位于 Elasticsearch 根目录 /data/elasticsearch-7.17.24/ 下。

生成节点证书

使用生成的 CA 证书为集群节点创建证书,执行以下命令:

bash 复制代码
./elasticsearch-certutil cert --ca elastic-stack-ca.p12

执行过程中会提示:

  • Enter password for CA (elastic-stack-ca.p12): 输入之前CA文件的密码(如果无密码直接回车)。
  • Please enter the desired output file [elastic-certificates.p12]: 回车以使用默认文件名 elastic-certificates.p12
  • Enter password for elastic-certificates.p12: 给新证书设置密码。

生成的 elastic-certificates.p12 文件位于相同目录下。

elastic-certificates.p12 文件生成时,我设置了密码,下面的配置将以带密码的形式给出,请注意。

拷贝证书到其他节点

elastic-stack-ca.p12elastic-certificates.p12 先移动到/config下,再复制到集群其他2个节点的 /data/elasticsearch-7.17.24/config/下。

修改配置文件

在每个节点的 `elasticsearch.yml` 文件中,增加以下配置以启用 SSL/TLS 加密:

yaml 复制代码
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
xpack.security.transport.ssl.keystore.secure_password: ${keystore:pass}
xpack.security.transport.ssl.truststore.secure_password: ${keystore:pass}

其中以下两行是elastic-certificates.p12 文件密码。

yaml 复制代码
xpack.security.transport.ssl.keystore.secure_password: ${keystore:pass}
xpack.security.transport.ssl.truststore.secure_password: ${keystore:pass}

添加加密条目

以更加安全的方式管理密码,而不是直接将密码以明文形式放入 elasticsearch.yml 文件中,建议使用 elasticsearch-keystore 工具来加密存储密码。这种方式可以防止在配置文件中暴露敏感信息。

使用以下命令为 keystore 和 truststore 添加elastic-certificates.p12 文件加密密码条目:

plain 复制代码
bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

执行后,系统会提示你输入 keystore 的密码(如 1QAZ2wsx3edc)。

接着,为 truststore 密码添加加密条目:

plain 复制代码
bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

同样,系统会提示你输入 truststore 的密码。

重启 Elasticsearch 服务

将原有的 Elasticsearch 进程关闭并重启:

bash 复制代码
kill -9 <elasticsearch_pid>
./elasticsearch -d

此时重启后,再发送请求会让你输入密码,下面我们进行密码设置。

设置密码

在集群中的某台节点上为预定义的用户设置密码:

bash 复制代码
cd /data/elasticsearch-7.17.24/bin
./elasticsearch-setup-passwords interactive

执行过程中会提示为以下用户设置密码:

  • elastic
  • apm_system
  • kibana
  • logstash_system
  • beats_system
  • remote_monitoring_user

你可以为每个用户设置自己的密码,或者全部设置为相同密码。

验证配置

使用设置的密码登录 Elasticsearch,验证集群状态:

bash 复制代码
curl -u elastic:<password> 'http://192.168.0.111:19200/_cat/nodes?v'
curl -u elastic:<password> 'http://192.168.0.112:19200/_cat/nodes?v'
curl -u elastic:<password> 'http://192.168.0.113:19200/_cat/nodes?v'
curl -u elastic:<password> 'http://192.168.0.111:19200/_cat/health?v'

通过以上步骤,已成功为 Elasticsearch 集群配置了 SSL/TLS 加密与用户密码认证,在浏览器进入时会提示你输入账号和密码。

相关推荐
Ivanqhz16 分钟前
Spark RDD
大数据·分布式·spark
搬砖天才、17 分钟前
自动化部署-02-jenkins部署微服务
微服务·自动化·jenkins
小黑0317 分钟前
Spark SQL DSL
大数据·sql·spark
思通数据1 小时前
AI助力医疗数据自动化:诊断报告识别与管理
大数据·人工智能·目标检测·机器学习·计算机视觉·目标跟踪·自动化
御前一品带刀侍卫2 小时前
springboot整合kafka
大数据·spring boot·kafka
执键行天涯2 小时前
【工具使用】VSCode如何将本地项目关联到远程的仓库 (vscode本地新项目与远程仓库建立链接)
ide·vscode·elasticsearch
管理大亨2 小时前
大数据之Kafka集群的安装部署
大数据·kafka·linq
dianzouyou1234562 小时前
钉钉与金蝶云星空数据集成:提高企业付款申请单处理效率
大数据·钉钉
数字罗塞塔计划2 小时前
详细议程来啦!“长三角档案数字资源长期保存与数据安全治理”专题培训
大数据·档案·文明
尘佑不尘4 小时前
shodan5,参数使用,批量查找Mongodb未授权登录,jenkins批量挖掘
数据库·笔记·mongodb·web安全·jenkins·1024程序员节