单向和双向 TLS 证书流程

编辑

本页概述了您为 Fleet Server 和 Elastic Agent 配置的各种证书和证书颁发机构 (CA) 之间的关系,使用 elastic-agent install TLS 命令选项。

简单单向 TLS 连接

编辑

以下 elastic-agent install 命令使用所需的证书和证书颁发机构配置 Fleet Server,以启用所涉及组件之间的单向 TLS 连接

elastic-agent install --url=https://your-fleet-server.elastic.co:443 \
--certificate-authorities=/path/to/fleet-ca \
--fleet-server-es=https://es.elastic.com:443 \
--fleet-server-es-ca=/path/to/es-ca \
--fleet-server-cert=/path/to/fleet-cert \
--fleet-server-cert-key=/path/to/fleet-cert-key \
--fleet-server-service-token=FLEET-SERVER-SERVICE-TOKEN \
--fleet-server-policy=FLEET-SERVER-POLICY-ID \
--fleet-server-port=8220

Elastic Agent 配置了 fleet-ca 作为它需要验证来自 Fleet Server 的证书的证书颁发机构。

在 TLS 连接设置期间,Fleet Server 将其证书 fleet-cert 呈现给代理,代理(作为客户端)使用 fleet-ca 验证呈现的证书。

Diagram of one-way TLS connection between Fleet Server and Elastic Agent

Fleet Server 还建立与 Elasticsearch 集群的安全连接。在这种情况下,Fleet Server 配置了来自 Elasticsearch 的证书颁发机构 es-ca。Elasticsearch 呈现其证书 es-cert,而 Fleet Server 使用证书颁发机构 es-ca 验证呈现的证书。

Diagram of one-way TLS connection between Fleet Server and Elasticsearch
单向 TLS 连接中组件之间的关系
编辑
Diagram of one-way TLS connection between components

双向 TLS 连接

编辑

以下 elastic-agent install 命令使用所需的证书和证书颁发机构配置 Fleet Server,以启用所涉及组件之间的双向 TLS 连接

elastic-agent install --url=https://your-fleet-server.elastic.co:443 \
--certificate-authorities=/path/to/fleet-ca,/path/to/agent-ca \
--elastic-agent-cert=/path/to/agent-cert \
--elastic-agent-cert-key=/path/to/agent-cert-key \
--elastic-agent-cert-key=/path/to/agent-cert-key-passphrase \
--fleet-server-es=https://es.elastic.com:443 \
--fleet-server-es-ca=/path/to/es-ca \
--fleet-server-es-cert=/path/to/fleet-es-cert \
--fleet-server-es-cert-key=/path/to/fleet-es-cert-key \
--fleet-server-cert=/path/to/fleet-cert \
--fleet-server-cert-key=/path/to/fleet-cert-key \
--fleet-server-client-auth=required \
--fleet-server-service-token=FLEET-SERVER-SERVICE-TOKEN \
--fleet-server-policy=FLEET-SERVER-POLICY-ID \
--fleet-server-port=8220

单向 TLS 示例一样,Elastic Agent 配置了 fleet-ca 作为它需要验证来自 Fleet Server 的证书的证书颁发机构。Fleet Server 将其证书 fleet-cert 呈现给代理,而代理(作为客户端)使用 fleet-ca 验证呈现的证书。

为了建立双向 TLS 连接,代理会呈现其证书 agent-cert,而 Fleet Server 使用其存储在内存中的 agent-ca 验证此证书。

Diagram of mutual TLS connection between Fleet Server and Elastic Agent

Fleet Server 还可以建立与 Elasticsearch 集群的双向 TLS 连接。在这种情况下,Fleet Server 配置了来自 Elasticsearch 的证书颁发机构 es-ca,并使用它来验证 Elasticsearch 呈现给它的证书 es-cert

Diagram of mutual TLS connection between Fleet Server and Elasticsearch

请注意,您还可以使用代理为 Fleet Server 和 Elastic Agent 配置双向 TLS。

双向 TLS 连接中组件之间的关系
编辑
Diagram of mutual TLS connection between components