Elasticsearch Shield SSL證書

Question

我使用彈性2.2.0與屏蔽2.2,10節點羣集。我需要啓用Elastic中的ssl以便Kibana使用盾牌，並且我在認證簽名部分獲得了troubled。

我沒有通配符證書，所以我不能在節點簽署只是一個企業社會責任，並將其複製到所有其他節點，我試圖用letsencrypt（with the elastic tutorial），並簽署node1和替代的通用名稱的證書node2-10的名稱並將其複製到所有其他節點（當然，我首先爲所有10臺服務器創建了域，並將其指向node1，簽署了csr，然後將所有9都指向了正確的服務器），it didn't work，並且我獲得了很多節點日誌中的「牀證書」異常。

正如我所說的，我需要ssl for kibana來與盾牌一起工作，並且爲了一般的安全連接，並且我計劃向集羣添加更多的節點...... 我該如何設法做到這一點？ 爲此目的最好的架構是什麼？

Answer 1

的問題是，我試圖用節點上的私有IP種子證書，並作爲文件說，（它是不可能的）：

如果使用商業CA的DNS名稱和IP用於識別節點的地址必須是公開可解析的。由於安全考慮，內部DNS名稱和私有IP地址不被接受。

如果您需要使用專用DNS名稱和IP地址，則使用內部CA是最安全的選項。它使您能夠指定節點標識並確保節點連接時驗證節點標識。如果您必須使用商用CA和專用DNS名稱或IP地址，則不能在節點中包含節點標識，因此唯一的選擇是禁用主機名驗證。

因此，解決辦法是在elasticsearch.yml設置爲只能使用外部的請求（如kibana UI）證書：

shield.transport.ssl: false shield.http.ssl: true