Elasticsearch Shield SSL证书

Question

我使用带有盾牌2.2的Elastic 2.2.0、10个节点集群。 我需要在Elastic for Kibana中启用ssl以使用盾牌，我在认证签名部分上遇到了麻烦 。

我没有通配符证书，因此我不能在节点中仅签名一个csr并将其复制到所有其他节点，我尝试使用letencrypt （ 带有弹性教程 ）并使用公共名称node1和替代名称node2签署证书-10并将其复制到所有其他节点（当然，我首先为所有10个服务器创建域，并将其指向node1，对csr进行签名，然后将所有9个指向正确的服务器）， 它没有工作 ，我得到了一个节点日志中有很多“床证书”异常。

正如我说的，我需要ssl来使kibana能够与盾一起使用，并确保安全连接，并且我打算向集群添加更多的节点。 为此目的最好的架构是什么？

Answer 1

问题是我试图在节点的专用ip种子上使用证书，并且正如文档所述（不可能）：

如果使用商业CA，则用于标识节点的DNS名称和IP地址必须是可公开解析的。 出于安全考虑，不接受内部DNS名称和私有IP地址。

如果需要使用私有DNS名称和IP地址，则使用内部CA是最安全的选择。 它使您可以指定节点身份，并确保在节点连接时验证节点身份。 如果必须使用商业CA和专用DNS名称或IP地址，则不能在证书中包括节点身份，因此唯一的选择是禁用主机名验证。

因此，解决方案是通过在elasticsearch.yml中进行设置，仅将证书用于外部请求（如kibana UI）：

shield.transport.ssl: false shield.http.ssl: true