- Elasticsearch 指南其他版本
- 8.17 中的新功能
- Elasticsearch 基础
- 快速入门
- 设置 Elasticsearch
- 升级 Elasticsearch
- 索引模块
- 映射
- 文本分析
- 索引模板
- 数据流
- 摄取管道
- 别名
- 搜索您的数据
- 重新排名
- 查询 DSL
- 聚合
- 地理空间分析
- 连接器
- EQL
- ES|QL
- SQL
- 脚本
- 数据管理
- 自动缩放
- 监视集群
- 汇总或转换数据
- 设置高可用性集群
- 快照和还原
- 保护 Elastic Stack 的安全
- Watcher
- 命令行工具
- elasticsearch-certgen
- elasticsearch-certutil
- elasticsearch-create-enrollment-token
- elasticsearch-croneval
- elasticsearch-keystore
- elasticsearch-node
- elasticsearch-reconfigure-node
- elasticsearch-reset-password
- elasticsearch-saml-metadata
- elasticsearch-service-tokens
- elasticsearch-setup-passwords
- elasticsearch-shard
- elasticsearch-syskeygen
- elasticsearch-users
- 优化
- 故障排除
- 修复常见的集群问题
- 诊断未分配的分片
- 向系统中添加丢失的层
- 允许 Elasticsearch 在系统中分配数据
- 允许 Elasticsearch 分配索引
- 索引将索引分配过滤器与数据层节点角色混合,以在数据层之间移动
- 没有足够的节点来分配所有分片副本
- 单个节点上索引的分片总数已超过
- 每个节点的分片总数已达到
- 故障排除损坏
- 修复磁盘空间不足的数据节点
- 修复磁盘空间不足的主节点
- 修复磁盘空间不足的其他角色节点
- 启动索引生命周期管理
- 启动快照生命周期管理
- 从快照恢复
- 故障排除损坏的存储库
- 解决重复的快照策略失败问题
- 故障排除不稳定的集群
- 故障排除发现
- 故障排除监控
- 故障排除转换
- 故障排除 Watcher
- 故障排除搜索
- 故障排除分片容量健康问题
- 故障排除不平衡的集群
- 捕获诊断信息
- REST API
- API 约定
- 通用选项
- REST API 兼容性
- 自动缩放 API
- 行为分析 API
- 紧凑和对齐文本 (CAT) API
- 集群 API
- 跨集群复制 API
- 连接器 API
- 数据流 API
- 文档 API
- 丰富 API
- EQL API
- ES|QL API
- 功能 API
- Fleet API
- 图表探索 API
- 索引 API
- 别名是否存在
- 别名
- 分析
- 分析索引磁盘使用量
- 清除缓存
- 克隆索引
- 关闭索引
- 创建索引
- 创建或更新别名
- 创建或更新组件模板
- 创建或更新索引模板
- 创建或更新索引模板(旧版)
- 删除组件模板
- 删除悬挂索引
- 删除别名
- 删除索引
- 删除索引模板
- 删除索引模板(旧版)
- 存在
- 字段使用情况统计信息
- 刷新
- 强制合并
- 获取别名
- 获取组件模板
- 获取字段映射
- 获取索引
- 获取索引设置
- 获取索引模板
- 获取索引模板(旧版)
- 获取映射
- 导入悬挂索引
- 索引恢复
- 索引段
- 索引分片存储
- 索引统计信息
- 索引模板是否存在(旧版)
- 列出悬挂索引
- 打开索引
- 刷新
- 解析索引
- 解析集群
- 翻转
- 收缩索引
- 模拟索引
- 模拟模板
- 拆分索引
- 解冻索引
- 更新索引设置
- 更新映射
- 索引生命周期管理 API
- 推理 API
- 信息 API
- 摄取 API
- 许可 API
- Logstash API
- 机器学习 API
- 机器学习异常检测 API
- 机器学习数据帧分析 API
- 机器学习训练模型 API
- 迁移 API
- 节点生命周期 API
- 查询规则 API
- 重新加载搜索分析器 API
- 存储库计量 API
- 汇总 API
- 根 API
- 脚本 API
- 搜索 API
- 搜索应用程序 API
- 可搜索快照 API
- 安全 API
- 身份验证
- 更改密码
- 清除缓存
- 清除角色缓存
- 清除权限缓存
- 清除 API 密钥缓存
- 清除服务帐户令牌缓存
- 创建 API 密钥
- 创建或更新应用程序权限
- 创建或更新角色映射
- 创建或更新角色
- 批量创建或更新角色 API
- 批量删除角色 API
- 创建或更新用户
- 创建服务帐户令牌
- 委托 PKI 身份验证
- 删除应用程序权限
- 删除角色映射
- 删除角色
- 删除服务帐户令牌
- 删除用户
- 禁用用户
- 启用用户
- 注册 Kibana
- 注册节点
- 获取 API 密钥信息
- 获取应用程序权限
- 获取内置权限
- 获取角色映射
- 获取角色
- 查询角色
- 获取服务帐户
- 获取服务帐户凭据
- 获取安全设置
- 获取令牌
- 获取用户权限
- 获取用户
- 授予 API 密钥
- 具有权限
- 使 API 密钥失效
- 使令牌失效
- OpenID Connect 准备身份验证
- OpenID Connect 身份验证
- OpenID Connect 注销
- 查询 API 密钥信息
- 查询用户
- 更新 API 密钥
- 更新安全设置
- 批量更新 API 密钥
- SAML 准备身份验证
- SAML 身份验证
- SAML 注销
- SAML 失效
- SAML 完成注销
- SAML 服务提供商元数据
- SSL 证书
- 激活用户配置文件
- 禁用用户配置文件
- 启用用户配置文件
- 获取用户配置文件
- 建议用户配置文件
- 更新用户配置文件数据
- 具有用户配置文件权限
- 创建跨集群 API 密钥
- 更新跨集群 API 密钥
- 快照和还原 API
- 快照生命周期管理 API
- SQL API
- 同义词 API
- 文本结构 API
- 转换 API
- 使用情况 API
- Watcher API
- 定义
- 迁移指南
- 发行说明
- Elasticsearch 版本 8.17.0
- Elasticsearch 版本 8.16.1
- Elasticsearch 版本 8.16.0
- Elasticsearch 版本 8.15.5
- Elasticsearch 版本 8.15.4
- Elasticsearch 版本 8.15.3
- Elasticsearch 版本 8.15.2
- Elasticsearch 版本 8.15.1
- Elasticsearch 版本 8.15.0
- Elasticsearch 版本 8.14.3
- Elasticsearch 版本 8.14.2
- Elasticsearch 版本 8.14.1
- Elasticsearch 版本 8.14.0
- Elasticsearch 版本 8.13.4
- Elasticsearch 版本 8.13.3
- Elasticsearch 版本 8.13.2
- Elasticsearch 版本 8.13.1
- Elasticsearch 版本 8.13.0
- Elasticsearch 版本 8.12.2
- Elasticsearch 版本 8.12.1
- Elasticsearch 版本 8.12.0
- Elasticsearch 版本 8.11.4
- Elasticsearch 版本 8.11.3
- Elasticsearch 版本 8.11.2
- Elasticsearch 版本 8.11.1
- Elasticsearch 版本 8.11.0
- Elasticsearch 版本 8.10.4
- Elasticsearch 版本 8.10.3
- Elasticsearch 版本 8.10.2
- Elasticsearch 版本 8.10.1
- Elasticsearch 版本 8.10.0
- Elasticsearch 版本 8.9.2
- Elasticsearch 版本 8.9.1
- Elasticsearch 版本 8.9.0
- Elasticsearch 版本 8.8.2
- Elasticsearch 版本 8.8.1
- Elasticsearch 版本 8.8.0
- Elasticsearch 版本 8.7.1
- Elasticsearch 版本 8.7.0
- Elasticsearch 版本 8.6.2
- Elasticsearch 版本 8.6.1
- Elasticsearch 版本 8.6.0
- Elasticsearch 版本 8.5.3
- Elasticsearch 版本 8.5.2
- Elasticsearch 版本 8.5.1
- Elasticsearch 版本 8.5.0
- Elasticsearch 版本 8.4.3
- Elasticsearch 版本 8.4.2
- Elasticsearch 版本 8.4.1
- Elasticsearch 版本 8.4.0
- Elasticsearch 版本 8.3.3
- Elasticsearch 版本 8.3.2
- Elasticsearch 版本 8.3.1
- Elasticsearch 版本 8.3.0
- Elasticsearch 版本 8.2.3
- Elasticsearch 版本 8.2.2
- Elasticsearch 版本 8.2.1
- Elasticsearch 版本 8.2.0
- Elasticsearch 版本 8.1.3
- Elasticsearch 版本 8.1.2
- Elasticsearch 版本 8.1.1
- Elasticsearch 版本 8.1.0
- Elasticsearch 版本 8.0.1
- Elasticsearch 版本 8.0.0
- Elasticsearch 版本 8.0.0-rc2
- Elasticsearch 版本 8.0.0-rc1
- Elasticsearch 版本 8.0.0-beta1
- Elasticsearch 版本 8.0.0-alpha2
- Elasticsearch 版本 8.0.0-alpha1
- 依赖项和版本
使用不同的 CA 更新安全证书
编辑使用不同的 CA 更新安全证书
编辑如果您必须信任组织中的新 CA,或者您需要自己生成新的 CA,请使用此新 CA 签署新的节点证书,并指示您的节点信任该新 CA。
为传输层生成新的证书
编辑创建新的 CA 证书,或获取您组织的 CA 证书,并将其添加到您现有的 CA 信任库中。在您完成更新所有节点的证书后,您可以从信任库中删除旧的 CA 证书(但不要在此之前删除!)。
以下示例使用 PKCS#12 文件,但相同的步骤适用于 JKS 密钥库。
-
打开
ES_PATH_CONF/elasticsearch.yml文件,并检查当前正在使用的密钥库的名称和位置。您将为新的密钥库使用相同的名称。在此示例中,密钥库和信任库使用不同的文件。您的配置可能会对密钥库和信任库使用相同的文件。
这些说明假设提供的证书由受信任的 CA 签名,并且验证模式设置为
certificate。此设置确保节点不会尝试执行主机名验证。xpack.security.transport.ssl.keystore.path: config/elastic-certificates.p12 xpack.security.transport.ssl.keystore.type: PKCS12 xpack.security.transport.ssl.truststore.path: config/elastic-stack-ca.p12 xpack.security.transport.ssl.truststore.type: PKCS12 xpack.security.transport.ssl.verification_mode: certificate
-
在集群中的任何节点上,生成一个新的 CA 证书。您只需完成此步骤一次。如果您正在使用您组织的 CA 证书,则跳过此步骤。
./bin/elasticsearch-certutil ca --pem
命令参数
-
--pem - 生成一个目录,其中包含 PEM 格式的 CA 证书和密钥,而不是 PKCS#12 格式。
- 输入将包含您的证书和密钥的压缩输出文件的名称,或接受默认名称
elastic-stack-ca.zip。 -
解压缩输出文件。生成的目录包含一个 CA 证书 (
ca.crt) 和一个私钥 (ca.key)。将这些文件保存在安全位置,因为它们包含您的 CA 的私钥。
-
-
在集群中的每个节点上,将新的
ca.crt证书导入到您现有的 CA 信任库中。此步骤确保您的集群信任新的 CA 证书。此示例使用 Javakeytool实用程序将证书导入到elastic-stack-ca.p12CA 信任库中。keytool -importcert -trustcacerts -noprompt -keystore elastic-stack-ca.p12 \ -storepass <password> -alias new-ca -file ca.crt
命令参数
-
-keystore - 您要将新 CA 证书导入到的信任库的名称。
-
-storepass - CA 信任库的密码。
-
-alias - 您要为密钥库中的新 CA 证书条目分配的名称。
-
-file - 要导入的新 CA 证书的名称。
-
-
keytool -keystore config/elastic-stack-ca.p12 -list
出现提示时,输入 CA 信任库的密码。
输出应同时包含现有的 CA 证书和您的新证书。如果您之前使用
elasticsearch-certutil工具生成密钥库,则旧 CA 的别名默认为ca,并且条目的类型为PrivateKeyEntry。
为集群中的每个节点生成新的证书
编辑现在您的 CA 信任库已更新,请使用新的 CA 证书为您的节点签署证书。
如果您的组织有自己的 CA,则需要生成证书签名请求 (CSR)。CSR 包含您的 CA 用来生成和签署安全证书的信息。
-
使用新的 CA 证书和密钥,为您的节点创建新的证书。
./bin/elasticsearch-certutil cert --ca-cert ca/ca.crt --ca-key ca/ca.key
命令参数
-
--ca-cert - 指定 PEM 格式的新 CA 证书 (
ca.crt) 的路径。您还必须指定--ca-key参数。 -
--ca-key - 指定您的 CA 证书的私钥 (
ca.key) 的路径。您还必须指定--ca-cert参数。
- 输入输出文件的名称或接受默认名称
elastic-certificates.p12。 - 出现提示时,输入您的节点证书的密码。
-
-
在您正在更新密钥库的集群中的当前节点上,启动滚动重启。
在指示执行任何需要的更改的步骤处停止,然后继续执行此过程中的下一步。
-
将您现有的密钥库替换为新的密钥库,确保文件名匹配。例如,
elastic-certificates.p12。如果您的密钥库密码正在更改,则使用新的文件名保存密钥库,以便 Elasticsearch 不会在您更新密码之前尝试重新加载该文件。
-
如果您需要使用新的文件名保存新的密钥库,请更新
ES_PATH_CONF/elasticsearch.yml文件以使用新的密钥库的文件名。例如xpack.security.transport.ssl.keystore.path: config/elastic-certificates.p12 xpack.security.transport.ssl.keystore.type: PKCS12 xpack.security.transport.ssl.truststore.path: config/elastic-stack-ca.p12 xpack.security.transport.ssl.truststore.type: PKCS12
- 启动您更新了密钥库的节点。
-
(可选)使用SSL 证书 API来验证 Elasticsearch 是否已加载新的密钥库。
resp = client.ssl.certificates() print(resp)
const response = await client.ssl.certificates(); console.log(response);
GET /_ssl/certificates
-
如果您仅更新传输层的证书(而不是 HTTP 层),则一次完成一个节点的步骤 2到步骤 6,直到您更新了集群中的所有密钥库。然后,您可以完成剩余的步骤以进行滚动重启。
否则,不要完成滚动重启。而是继续执行为 HTTP 层生成新证书的步骤。
-
(可选)在替换集群中每个节点上的密钥库后,列出信任库中的证书,然后删除旧的 CA 证书。
如果您之前使用
elasticsearch-certutil工具生成密钥库,则旧 CA 的别名默认为ca,并且条目的类型为PrivateKeyEntry。keytool -delete -noprompt -alias ca -keystore config/elastic-stack-ca.p12 \ -storepass <password>
命令参数
-
-alias - 您要从信任库中删除的旧 CA 证书的密钥库别名的名称。
-
下一步是什么?
编辑做得好!您已更新了传输层的密钥库。如果需要,您还可以更新 HTTP 层的密钥库。如果您不更新 HTTP 层的密钥库,则一切设置完成。
为 HTTP 层生成新的证书
编辑您可以使用新的 CA 证书和私钥为 HTTP 层生成证书。当 Kibana 或任何 Elastic 语言客户端连接到 Elasticsearch 时,它们会验证此证书。
如果您的组织有自己的 CA,则需要生成证书签名请求 (CSR)。CSR 包含您的 CA 用来生成和签署安全证书的信息,而不是使用 elasticsearch-certutil 工具生成的自签名证书。
-
在安装了 Elasticsearch 的集群中的任何节点上,运行 Elasticsearch HTTP 证书工具。
./bin/elasticsearch-certutil http
此命令生成一个
.zip文件,其中包含用于 Elasticsearch 和 Kibana 的证书和密钥。每个文件夹都包含一个README.txt,解释如何使用这些文件。- 当询问您是否要生成 CSR 时,输入
n。 - 当询问您是否要使用现有的 CA 时,输入
y。 - 输入您的新 CA 证书的绝对路径,例如
ca.crt文件的路径。 - 输入您的新 CA 证书私钥的绝对路径,例如
ca.key文件的路径。 - 输入您的证书的过期值。您可以以年、月或日为单位输入有效期。例如,输入
1y表示一年。 -
当询问您是否要为每个节点生成一个证书时,输入
y。每个证书将有自己的私钥,并且将颁发给特定的主机名或 IP 地址。
- 出现提示时,输入集群中第一个节点的名称。使用与
elasticsearch.yml文件中的node.name参数值相同的节点名称。 -
输入用于连接到您的第一个节点的所有主机名。这些主机名将作为 DNS 名称添加到您的证书的主体备用名称 (SAN) 字段中。
列出通过 HTTPS 连接到您的集群的每个主机名和变体。
- 输入客户端可以用来连接到您的节点的 IP 地址。
- 对集群中的每个附加节点重复这些步骤。
- 当询问您是否要生成 CSR 时,输入
- 为每个节点生成证书后,在提示时输入您的密钥库密码。
-
解压缩生成的
elasticsearch-ssl-http.zip文件。此压缩文件包含 Elasticsearch 和 Kibana 的一个目录。在/elasticsearch目录中,为每个您指定的节点提供一个目录,其中包含各自的http.p12文件。例如:/node1 |_ README.txt |_ http.p12 |_ sample-elasticsearch.yml
/node2 |_ README.txt |_ http.p12 |_ sample-elasticsearch.yml
/node3 |_ README.txt |_ http.p12 |_ sample-elasticsearch.yml
- 如有必要,请重命名每个
http.p12文件,使其与 HTTP 客户端通信的现有证书名称相匹配。例如,node1-http.p12。 -
在集群中当前要更新密钥库的节点上,启动滚动重启。
在指示执行任何需要的更改的步骤处停止,然后继续执行此过程中的下一步。
-
将现有密钥库替换为新的密钥库,确保文件名匹配。例如,
node1-http.p12。如果您的密钥库密码正在更改,则使用新的文件名保存密钥库,以便 Elasticsearch 不会在您更新密码之前尝试重新加载该文件。
-
如果您需要使用新的文件名保存新的密钥库,请更新
ES_PATH_CONF/elasticsearch.yml文件以使用新的密钥库的文件名。例如xpack.security.http.ssl.enabled: true xpack.security.http.ssl.keystore.path: node1-http.p12
-
如果您的密钥库密码正在更改,请将私钥的密码添加到 Elasticsearch 中的安全设置中。
./bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
-
启动您更新了密钥库的节点。
使用cat nodes API来确认该节点已加入集群
resp = client.cat.nodes() print(resp)
response = client.cat.nodes puts response
const response = await client.cat.nodes(); console.log(response);
GET _cat/nodes
-
(可选)使用SSL 证书 API来验证 Elasticsearch 是否加载了新的密钥库。
resp = client.ssl.certificates() print(resp)
const response = await client.ssl.certificates(); console.log(response);
GET /_ssl/certificates
- 一次一个节点,完成步骤 5到步骤 10,直到您更新了集群中的所有密钥库。
- 完成滚动重启的剩余步骤,从重新启用分片分配的步骤开始。
接下来是什么?
编辑做得好!您已经更新了 HTTP 层的密钥库。现在您可以更新 Kibana 和 Elasticsearch 之间的加密。
更新 Kibana 和 Elasticsearch 之间的加密
编辑当您使用 http 选项运行 elasticsearch-certutil 工具时,它创建了一个包含 elasticsearch-ca.pem 文件的 /kibana 目录。您可以使用此文件来配置 Kibana,使其信任 HTTP 层的 Elasticsearch CA。
-
将
elasticsearch-ca.pem文件复制到 Kibana 配置目录,该目录由KBN_PATH_CONF路径定义。KBN_PATH_CONF包含 Kibana 配置文件的路径。如果您使用归档发行版(zip或tar.gz)安装 Kibana,则该路径默认为KBN_HOME/config。如果您使用软件包发行版(Debian 或 RPM),则该路径默认为/etc/kibana。 -
如果您修改了
elasticsearch-ca.pem文件的文件名,请编辑kibana.yml并更新配置,以指定 HTTP 层的安全证书的位置。elasticsearch.ssl.certificateAuthorities: KBN_PATH_CONF/elasticsearch-ca.pem
- 重启 Kibana。