APM 代理 TLS 通信
编辑

TLS 默认禁用。当为 APM Server 入站通信启用 TLS 时,代理将通过验证其证书来验证 APM Server 的身份。

启用 TLS 时,需要证书和相应的私钥。证书和私钥可以由受信任的证书颁发机构 (CA) 颁发,也可以是自签名的。

使用自签名证书编辑
步骤 1:创建自签名证书编辑

Elasticsearch 发行版提供了 certutil 工具,用于创建自签名证书

  1. 创建 CA:./bin/elasticsearch-certutil ca --pem。系统会提示您输入包含证书和私钥的输出 zip 归档的所需位置。
  2. 提取 CA 归档的内容。
  3. 创建自签名证书:./bin/elasticsearch-certutil cert --ca-cert <path-to-ca-crt>/ca.crt --ca-key <path-to-ca-key>/ca.key --pem --name localhost
  4. 从生成的 zip 归档中提取证书和密钥。
步骤 2:配置 APM Server编辑

启用 TLS 并配置 APM Server 以指向提取的证书和密钥

在 APM 集成设置中启用 TLS,并使用SSL/TLS 输入设置来设置服务器证书和密钥的路径。

步骤 3:配置 APM 代理编辑

当 APM 服务器使用未链接到公共信任证书(例如自签名证书)的证书时,需要在 APM 代理中进行其他配置

我们不建议禁用 APM 代理对服务器证书的验证,但这是可行的

客户端证书身份验证编辑

APM Server 不要求代理提供证书进行身份验证,并且 Elastic 的后端代理中没有对 SSL/TLS 客户端证书身份验证的专门支持。