更新节点安全证书

如果当前节点证书即将过期、您正在向受保护的集群添加新节点，或者安全漏洞破坏了您的证书链的信任，您可能需要更新 TLS 证书。使用 SSL 证书 API 来检查您的证书何时过期。

在您可以访问用于签署现有节点证书的原始证书颁发机构（CA）密钥和证书（并且您仍然信任您的 CA）的情况下，您可以使用该 CA 来签署新的证书。

如果您必须信任您组织的新 CA，或者您需要自己生成新的 CA，则需要使用此新 CA 来签署新的节点证书，并指示您的节点信任新的 CA。在这种情况下，您将使用新的 CA 签署节点证书并指示您的节点信任此证书链。

根据哪些证书即将过期，您可能需要更新传输层、HTTP 层或两者的证书。

无论哪种情况，Elasticsearch 默认情况下都会以五秒的间隔监控 SSL 资源的更新。您只需将新的证书和密钥文件（或密钥库）复制到 Elasticsearch 配置目录中，您的节点就会检测到更改并重新加载密钥和证书。

由于 Elasticsearch 不会重新加载 elasticsearch.yml 配置，如果您想利用自动证书和密钥重新加载，则必须使用相同的文件名。

如果您需要更新 elasticsearch.yml 配置或更改存储在 安全设置中的密钥或密钥库的密码，则必须完成滚动重启。 Elasticsearch 不会自动重新加载存储在安全设置中的密码的更改。