单向和双向 TLS 证书流程
编辑单向和双向 TLS 证书流程
编辑本页概述了您为 Fleet Server 和 Elastic Agent 配置的各种证书和证书颁发机构 (CA) 之间的关系,使用 elastic-agent install
TLS 命令选项。
简单单向 TLS 连接
编辑以下 elastic-agent install
命令使用所需的证书和证书颁发机构配置 Fleet Server,以启用所涉及组件之间的单向 TLS 连接
elastic-agent install --url=https://your-fleet-server.elastic.co:443 \ --certificate-authorities=/path/to/fleet-ca \ --fleet-server-es=https://es.elastic.com:443 \ --fleet-server-es-ca=/path/to/es-ca \ --fleet-server-cert=/path/to/fleet-cert \ --fleet-server-cert-key=/path/to/fleet-cert-key \ --fleet-server-service-token=FLEET-SERVER-SERVICE-TOKEN \ --fleet-server-policy=FLEET-SERVER-POLICY-ID \ --fleet-server-port=8220
Elastic Agent 配置了 fleet-ca
作为它需要验证来自 Fleet Server 的证书的证书颁发机构。
在 TLS 连接设置期间,Fleet Server 将其证书 fleet-cert
呈现给代理,代理(作为客户端)使用 fleet-ca
验证呈现的证书。
Fleet Server 还建立与 Elasticsearch 集群的安全连接。在这种情况下,Fleet Server 配置了来自 Elasticsearch 的证书颁发机构 es-ca
。Elasticsearch 呈现其证书 es-cert
,而 Fleet Server 使用证书颁发机构 es-ca
验证呈现的证书。
单向 TLS 连接中组件之间的关系
编辑双向 TLS 连接
编辑以下 elastic-agent install
命令使用所需的证书和证书颁发机构配置 Fleet Server,以启用所涉及组件之间的双向 TLS 连接
elastic-agent install --url=https://your-fleet-server.elastic.co:443 \ --certificate-authorities=/path/to/fleet-ca,/path/to/agent-ca \ --elastic-agent-cert=/path/to/agent-cert \ --elastic-agent-cert-key=/path/to/agent-cert-key \ --elastic-agent-cert-key=/path/to/agent-cert-key-passphrase \ --fleet-server-es=https://es.elastic.com:443 \ --fleet-server-es-ca=/path/to/es-ca \ --fleet-server-es-cert=/path/to/fleet-es-cert \ --fleet-server-es-cert-key=/path/to/fleet-es-cert-key \ --fleet-server-cert=/path/to/fleet-cert \ --fleet-server-cert-key=/path/to/fleet-cert-key \ --fleet-server-client-auth=required \ --fleet-server-service-token=FLEET-SERVER-SERVICE-TOKEN \ --fleet-server-policy=FLEET-SERVER-POLICY-ID \ --fleet-server-port=8220
与单向 TLS 示例一样,Elastic Agent 配置了 fleet-ca
作为它需要验证来自 Fleet Server 的证书的证书颁发机构。Fleet Server 将其证书 fleet-cert
呈现给代理,而代理(作为客户端)使用 fleet-ca
验证呈现的证书。
为了建立双向 TLS 连接,代理会呈现其证书 agent-cert
,而 Fleet Server 使用其存储在内存中的 agent-ca
验证此证书。
Fleet Server 还可以建立与 Elasticsearch 集群的双向 TLS 连接。在这种情况下,Fleet Server 配置了来自 Elasticsearch 的证书颁发机构 es-ca
,并使用它来验证 Elasticsearch 呈现给它的证书 es-cert
。
请注意,您还可以使用代理为 Fleet Server 和 Elastic Agent 配置双向 TLS。