Elasticsearch Shield SSL證書

Question

我使用帶有盾牌2.2的Elastic 2.2.0、10個節點集群。 我需要在Elastic for Kibana中啟用ssl以使用盾牌，我在認證簽名部分上遇到了麻煩 。

我沒有通配符證書，因此我不能在節點中僅簽名一個csr並將其復制到所有其他節點，我嘗試使用letencrypt （ 帶有彈性教程 ）並使用公共名稱node1和替代名稱node2簽署證書-10並將其復制到所有其他節點（當然，我首先為所有10個服務器創建域，並將其指向node1，對csr進行簽名，然后將所有9個指向正確的服務器）， 它沒有工作 ，我得到了一個節點日志中有很多“床證書”異常。

正如我說的，我需要ssl來使kibana能夠與盾一起使用，並確保安全連接，並且我打算向集群添加更多的節點。 為此目的最好的架構是什么？

Answer 1

問題是我試圖在節點的專用ip種子上使用證書，並且正如文檔所述（不可能）：

如果使用商業CA，則用於標識節點的DNS名稱和IP地址必須是可公開解析的。 出於安全考慮，不接受內部DNS名稱和私有IP地址。

如果需要使用私有DNS名稱和IP地址，則使用內部CA是最安全的選擇。 它使您可以指定節點身份，並確保在節點連接時驗證節點身份。 如果必須使用商業CA和專用DNS名稱或IP地址，則不能在證書中包括節點身份，因此唯一的選擇是禁用主機名驗證。

因此，解決方案是通過在elasticsearch.yml中進行設置，僅將證書用於外部請求（如kibana UI）：

shield.transport.ssl: false shield.http.ssl: true