Elasticsearch证书

Question

我使用弹性2.2.0和屏蔽2.2，10个节点集群。我需要使ssl在弹性的基巴纳与盾牌工作，我得到了乱七八糟的认证签字部分。

我没有通配符证书，所以我不能只在节点中签名一个csr并将其复制到所有其他节点，我尝试使用让人加密 (用弹性教程)并签署一个node1的通用名称和节点2-10的替代名称的证书，并将它复制到所有其他节点(当然，我首先为所有10个服务器创建域并将其指向node1，签署csr，然后将所有9指向正确的服务器)，这不管用和我在日志节点中得到了许多“床证书”异常。

正如我说过的，我需要ssl才能使kibana与屏蔽一起工作，以及一般的安全连接，并且我计划向集群中添加更多的节点.我怎样才能做到呢？为此目的，什么才是最好的架构？

Answer 1

问题是，我试图在节点的私有ip种子上使用证书，正如文档所述(这是不可能的)：

如果使用商业CA，用于标识节点的DNS名称和IP地址必须是可公开解析的。出于安全考虑，不接受内部DNS名称和私有IP地址。 如果需要使用专用DNS名称和IP地址，则使用内部CA是最安全的选项。它使您能够指定节点标识，并确保节点连接时验证节点标识。如果必须使用商业CA和专用DNS名称或IP地址，则不能将节点标识包括在证书中，因此唯一的选项是禁用主机名验证。

因此，解决方案是只对外部请求(如kibana )使用证书，方法是在elasticsearch.yml中设置：

shield.transport.ssl: false shield.http.ssl: true