AWS Elastic Search Domain 的 Route53 給出證書錯誤

Question

我在弗吉尼亞州創建了一個 AWS 彈性搜索域並獲得了一個端點 URL。

現在我想圍繞它配置 Route53 行為，以便調用者可以使用相同的 url，即使彈性搜索或災難恢復有一些變化。

所以，

Virginia Route 53 -- 1 Points to -- Virgina Elastic Search Domain URL Oregon Route 53 -- 2 Points to -- Oregon Elastic Search Domain URL Main Route 53 -- 3 Points to -- Route 53 1 or 2

我已經創建了這些，還創建並上傳了帶有正確 SAN 條目的 SSL 證書。 但是當我執行時，

curl https://mainroute53/health
curl https://virginiaroute53/health
curl https://oregonroute53/health

我收到此錯誤，

curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate.

但是當我直接調用 Elastic Search URL 時它的工作原理。 所以我知道這是我使用證書的方式的問題。 任何幫助表示贊賞。

Answer 1

您的 Elastic Search 終端節點將始終返回 Elastic Search SSL 證書。

因此，當您為其創建 Route 53“別名”時，您可能會通過自定義 DNS 條目連接到它，但 Elastic Search 仍將使用 Elastic Search SSL 證書。

由於您使用的 DNS 端點與 SSL 證書不匹配，因此您會收到該錯誤。

您可以使用--insecure curl 標志讓它不檢查 SSL 證書，但是，這樣做存在風險。

Answer 2

您可以通過在 Elasticsearch 域前設置代理服務器來解決此問題，盡管這有點愚蠢，因為 Elasticsearch 域中似乎也有一個 ELB。 嗯。

Amazon ES 為您創建的域包括 Elasticsearch 集群中的節點和來自多個 AWS 服務的資源。 當 Amazon ES 創建您的域時，它會在服務控制的 VPC 中啟動實例。 這些實例以 Elastic Load Balancing (ELB) 為前端，負載均衡器的端點通過 Route 53 發布。對域的請求通過 ELB 負載均衡器，后者將它們路由到域的 EC2 實例。

https://aws.amazon.com/blogs/database/set-access-control-for-amazon-elasticsearch-service/

Answer 3

您可以使用自定義域名訪問 Elasticsearch 的一種方法是使用 API 網關作為 HTPP 代理。 但是您必須處理身份驗證部分，因為 ES 的 Cognito cookie 將指向原始域 ( *.es.amazonaws.com )。

根據我的經驗，這是可行的，您應該能夠使用 API Gateway（加上自定義域名和 Route 53）來實現您想要的（通過 ES 擁有自定義域名）。 只是它需要一些 Cognito 知識，並且很可能需要一些編碼（以處理 cookie 問題）。

Answer 4

您可以使用http端點而不是https端點

即

curl **http**://mainroute53/health

這可以解決 AWS 不允許在其托管的Elastic服務中提供自定義域證書的事實

Answer 5

我們有同樣的問題，希望被重定向到Kibana一個更友好的DNS名稱，我們使用S3存儲解決方案，並重定向描述這里。

步驟：

• 創建一個任意名稱的 S3 存儲桶。
• 在存儲桶屬性中，啟用“靜態網站托管”。
• 在靜態網站托管屬性中，選擇“重定向請求”選項。
• 在目標域中設置從您的 elasticsearch 域提供的 Kibana URL：即https://vpc-es-randomstring.us-east-1.es.amazonaws.com/_plugin/kibana/
• 將協議設置為https
• 然后按照上述指南中Step 5中的Step 5進行操作