« 更新节点安全证书 使用不同 CA 更新安全证书 »
Elastic 文档 Elasticsearch 指南 [8.14] 保护 Elastic Stack 更新节点安全证书

使用相同 CA 更新证书

编辑

使用相同 CA 更新证书编辑

此过程假设您有权访问最初生成的(或由您的组织持有的)CA 证书和密钥,这些证书和密钥用于签署当前使用的节点证书。它还假设连接到 Elasticsearch HTTP 层的客户端配置为信任 CA 证书。

如果您有权访问用于签署现有证书的 CA,则只需替换集群中每个节点的证书和密钥。如果您替换每个节点上的现有证书和密钥并使用相同的文件名,Elasticsearch 将重新加载文件并开始使用新的证书和密钥。

您无需重启每个节点,但这样做会强制建立新的 TLS 连接,并且是 推荐的做法,用于更新证书。因此,以下步骤包括在更新每个证书后重启节点。

以下步骤提供了为传输层和 HTTP 层生成新的节点证书和密钥的说明。您可能只需要替换其中一层证书,具体取决于哪些证书即将过期。

如果您的密钥库受密码保护,密码存储在 Elasticsearch 安全设置中,并且需要更改密码,则必须对集群执行 滚动重启。您还必须使用不同的文件名保存密钥库,以便 Elasticsearch 在节点重启之前不会重新加载该文件。

如果您的 CA 已更改,请完成 使用不同 CA 更新安全证书 中的步骤。

为传输层生成新证书编辑

以下示例使用 PKCS#12 文件,但相同的步骤适用于 JKS 密钥库。

  1. 打开 ES_PATH_CONF/elasticsearch.yml 文件并检查当前使用的密钥库的名称和位置。您将使用相同的名称保存新证书。

    在此示例中,密钥库和信任库指向不同的文件。您的配置可能使用包含证书和 CA 的同一个文件。在这种情况下,请同时包含密钥库和信任库的路径。

    这些说明假设提供的证书由受信任的 CA 签署,并且验证模式设置为 certificate。此设置确保节点不会尝试执行主机名验证。

    xpack.security.transport.ssl.keystore.path: config/elastic-certificates.p12
xpack.security.transport.ssl.keystore.type: PKCS12
xpack.security.transport.ssl.truststore.path: config/elastic-stack-ca.p12
xpack.security.transport.ssl.truststore.type: PKCS12
xpack.security.transport.ssl.verification_mode: certificate

  2. 使用现有的 CA 为节点生成密钥库。您必须使用用于签署当前使用证书的 CA。

    ./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12
    命令参数
    --ca <ca_file>
    用于签署证书的 CA 密钥库的名称。如果您使用 elasticsearch-certutil 工具生成现有的 CA,则密钥库名称默认为 elastic-stack-ca.p12
    1. 输入输出文件的名称,或接受默认的 elastic-certificates.p12
    2. 出现提示时,输入节点密钥库的密码。

  3. 如果您在创建节点密钥库时输入的密码与当前密钥库密码不同,请运行以下命令将密码存储在 Elasticsearch 密钥库中

    ./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

  4. 在您更新密钥库的集群中当前节点上,启动 滚动重启

    在指示 执行任何必要的更改 的步骤处停止,然后继续执行此过程中的下一步。

  5. 用新密钥库替换现有密钥库,确保文件名匹配。例如,elastic-certificates.p12

    如果您的 密钥库密码正在更改,请使用新文件名保存密钥库,以便 Elasticsearch 在您更新密码之前不会尝试重新加载该文件。

  6. 如果您需要使用新文件名保存新密钥库,请更新 ES_PATH_CONF/elasticsearch.yml 文件以使用新密钥库的文件名。例如

    xpack.security.transport.ssl.keystore.path: config/elastic-certificates.p12
xpack.security.transport.ssl.keystore.type: PKCS12
xpack.security.transport.ssl.truststore.path: config/elastic-stack-ca.p12
xpack.security.transport.ssl.truststore.type: PKCS12
  7. 启动您更新密钥库的节点。

  8. (可选) 使用 SSL 证书 API 验证 Elasticsearch 是否加载了新的密钥库。

    GET /_ssl/certificates

  9. 如果您只更新传输层的证书(而不是 HTTP 层的证书),请一次更新一个节点,完成从 步骤 4步骤 8,直到您更新了集群中的所有密钥库。然后,您可以完成 滚动重启 的剩余步骤。

    否则,请勿完成滚动重启。而是继续执行为 HTTP 层生成新证书的步骤。

下一步是什么?编辑

干得好!您已更新传输层的密钥库。您还可以 更新 HTTP 层的密钥库(如果需要)。如果您没有更新 HTTP 层的密钥库,那么您已经完成了所有操作。

为 HTTP 层生成新证书编辑

其他组件(如 Kibana 或任何 Elastic 语言客户端)在连接到 Elasticsearch 时会验证此证书。

如果您的组织拥有自己的 CA,则需要 生成证书签名请求 (CSR)。CSR 包含 CA 用于生成和签署证书的信息。

  1. 在安装了 Elasticsearch 的集群中的任何节点上,运行 Elasticsearch HTTP 证书工具。

    ./bin/elasticsearch-certutil http

    此命令会生成一个 .zip 文件,其中包含用于 Elasticsearch 和 Kibana 的证书和密钥。每个文件夹都包含一个 README.txt 文件,解释如何使用这些文件。

    1. 当询问您是否要生成 CSR 时,输入 n
    2. 当询问您是否要使用现有的 CA 时,输入 y
    3. 输入 CA 的绝对路径,例如 elastic-stack-ca.p12 文件的路径。
    4. 输入 CA 的密码。
    5. 输入证书的有效期。您可以以年、月或日为单位输入有效期。例如,输入 1y 表示一年。

    6. 当询问您是否要为每个节点生成一个证书时,输入 y

      每个证书将拥有自己的私钥,并将为特定主机名或 IP 地址颁发。

    7. 出现提示时,输入集群中第一个节点的名称。使用与 elasticsearch.yml 文件中 node.name 参数的值相同的节点名称会有所帮助。

    8. 输入用于连接到第一个节点的所有主机名。这些主机名将作为 DNS 名称添加到证书的主题备用名称 (SAN) 字段中。

      列出用于通过 HTTPS 连接到集群的每个主机名和变体。

    9. 输入客户端可以用来连接到节点的 IP 地址。
    10. 对集群中的每个其他节点重复这些步骤。
  2. 为每个节点生成证书后,出现提示时输入私钥的密码。

  3. 解压缩生成的 elasticsearch-ssl-http.zip 文件。此压缩文件包含两个目录;一个用于 Elasticsearch,另一个用于 Kibana。在 /elasticsearch 目录中,是您指定的每个节点的目录,每个目录都有自己的 http.p12 文件。例如

    /node1
|_ README.txt
|_ http.p12
|_ sample-elasticsearch.yml
    /node2
|_ README.txt
|_ http.p12
|_ sample-elasticsearch.yml
    /node3
|_ README.txt
|_ http.p12
|_ sample-elasticsearch.yml
  4. 如果需要,请将 http.p12 文件重命名为与用于 HTTP 客户端通信的现有证书的名称匹配。例如,node1-http.p12

  5. 在您更新密钥库的集群中当前节点上,启动 滚动重启

    在指示 执行任何必要的更改 的步骤处停止,然后继续执行此过程中的下一步。

  6. 用新密钥库替换现有密钥库,确保文件名匹配。例如,node1-http.p12

    如果您的 密钥库密码正在更改,请使用新文件名保存密钥库,以便 Elasticsearch 在您更新密码之前不会尝试重新加载该文件。

  7. 如果您需要使用新文件名保存新密钥库,请更新 ES_PATH_CONF/elasticsearch.yml 文件以使用新密钥库的文件名。例如

    xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: node1-http.p12

  8. 如果您的密钥库密码正在更改,请将私钥的密码添加到 Elasticsearch 中的安全设置中。

    ./bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password

  9. 启动您更新密钥库的节点。

    使用 cat 节点 API 确认节点已加入集群

    resp = client.cat.nodes()
print(resp)
    response = client.cat.nodes
puts response
    GET _cat/nodes

  10. (可选) 使用 SSL 证书 API 验证 Elasticsearch 是否加载了新的密钥库。

    GET /_ssl/certificates
  11. 一次更新一个节点,完成从 步骤 5步骤 10,直到您更新了集群中的所有密钥库。
  12. 完成 滚动重启 的剩余步骤,从 重新启用分片分配 的步骤开始。
« 更新节点安全证书 使用不同 CA 更新安全证书 »