elasticsearch,Elastic Shield" />
elasticsearch,elastic-shield,Ssl,Elasticsearch屏蔽SSL证书
我使用的是弹性2.2.0和屏蔽2.2,10节点集群。我需要在Elastic中启用ssl,以便Kibana与shield一起工作,然后我开始了证书签名部分 我没有通配符证书因此我无法在节点中仅对一个csr进行签名并将其复制到所有其他节点,我尝试使用()并使用常用名称node1和备用名称node2-10对证书进行签名,然后将其复制到所有其他节点(当然,我首先为所有10台服务器创建了域,并将其指向node1,签署csr,然后将所有9台服务器指向正确的服务器),并且我在节点日志中得到了很多“bed certificate”异常 正如我所说的,我需要ssl使kibana与shield一起工作,并且通常需要安全连接,我计划向集群添加更多节点。。。 我怎样才能做到这一点?Elasticsearch屏蔽SSL证书,ssl,
elasticsearch,elastic-shield,Ssl,
出于这个目的,什么是最好的体系结构?问题是我试图在节点的私有ip种子上使用证书,正如文档所述(这是不可能的): 如果使用商业CA,用于标识节点的DNS名称和IP地址必须是可公开解析的。出于安全考虑,不接受内部DNS名称和专用IP地址 如果需要使用专用DNS名称和IP地址,则使用内部CA是最安全的选项。它使您能够指定节点标识,并确保节点连接时验证节点标识。如果必须使用商用CA和专用DNS名称或IP地址,则不能在证书中包含节点标识,因此只有选项是禁用主机名验证 因此,解决方案是通过在elasticsearch.yml中设置,仅将证书用于外部请求(如kibana UI):
shield.transport.ssl:false
shield.http.ssl:trueshield.transport.ssl:false
shield.http.ssl:true