odfe（open distro for elasticsearch） 自签名证书制作

• 1. 安装openssl(做证书的工具)
• 2. 制作根证书
• 3. 制作admin证书
• 4. 制作node证书

本文实例都是运行在centos系统上

1. 安装openssl(做证书的工具)

1. 查看当前机器是否安装了openssl服务，如果安装了则直接可以用，未安装的话需要先安装openssl服务，查看是否安装命令：

openssl version
OpenSSL 1.0.2k-fips  26 Jan 2017

2. 安装openssl服务（未安装先安装，安装了可忽略此步骤）

yum install openssl

2. 制作根证书

1. 生成根证书私钥

openssl genrsa -out root-ca-key.pem 2048

2. 根据根证书私钥生成一个根证书

openssl req -new -x509 -sha256 -key root-ca-key.pem -subj "/C=CN/ST=TIANJIN/L=TIANJIN/O=TIANJIN/OU=UNIT/CN=node.com" -out root-ca.pem -days 3650

注意：
1. -days 设置的是证书过期的时间，当前设置的是10年。
2. -subj 的信息可以通过-subj参数指定，也可以不加参数指定，直接输入上述命令后会有交互提示输入信息，在那时候指定也可以。

3. 制作admin证书

操作security插件相关的securityadmin.sh脚本时需要admin证书，否则不能操作该脚本。

1. 生成admin证书的私钥

openssl genrsa -out admin-key-temp.pem 2048

此步骤会生成一个admin-key-temp.pem的私钥，然后将该key转成 PKCS#8 格式的key以兼容java相关的算法。具体命令如下：

openssl pkcs8 -inform PEM -outform PEM -in admin-key-temp.pem -topk8 -nocrypt -v1 PBE-SHA1-3DES -out admin-key.pem

2. 制作admin证书的csr

openssl req -new -key admin-key.pem -out admin.csr

3. 制作admin证书

openssl x509 -req -in admin.csr -CA root-ca.pem -CAkey root-ca-key.pem -CAcreateserial -sha256 -out admin.pem -days 3650

该步骤也可以直接指定-subj参数。

4. 制作node证书

方法通admin证书的制作方法。