更新节点安全证书

如果当前节点证书即将过期，您需要添加新的节点到安全集群，或者安全漏洞破坏了证书链的信任，您可能需要更新 TLS 证书。使用 SSL 证书 API 检查证书何时过期。

在您可以访问用于签署现有节点证书的原始证书颁发机构 (CA) 密钥和证书（并且您仍然信任您的 CA）的情况下，您可以 使用该 CA 签署新证书。

如果您必须信任组织中的新 CA，或者您需要自己生成新的 CA，则需要使用此新 CA 签署新的节点证书，并指示您的节点信任新的 CA。在这种情况下，您将 使用您的新 CA 签署节点证书，并指示您的节点信任此证书链。

根据哪些证书即将过期，您可能需要更新传输层、HTTP 层或两者的证书。

无论哪种情况，Elasticsearch 默认情况下每隔五秒钟监控一次 SSL 资源以进行更新。您只需将新的证书和密钥文件（或密钥库）复制到 Elasticsearch 配置目录，您的节点将检测到更改并重新加载密钥和证书。

由于 Elasticsearch 不会重新加载 elasticsearch.yml 配置，因此如果您想利用自动证书和密钥重新加载，则必须使用 相同的文件名。

如果您需要更新 elasticsearch.yml 配置或更改存储在 安全设置 中的密钥或密钥库的密码，则必须完成 滚动重启。Elasticsearch 不会自动重新加载存储在安全设置中的密码的更改。