Elasticsearch学习笔记(五)Elastic stack安全配置二

一、手动配置http层SSL

通过前面的配置,我们为集群传输层手动配置了TLS,集群内部节点之间的通信使用手动配置的证书进行加密,但是集群与外部客户端的http层目前还是使用的自动配置,集群中HTTP的通信目前仍然使用自动生成的证书http.p12,这同样具有一定的安全风险,接下来我们 要手动生成http证书。

1.生成http.p12证书

HTTP层的加密也是通过数字证书实现的,如果大家有过使用数字证书的经验这里应该非常容易理解。这里我们使用ES 自带的elasticsearch-certutil工具生成自定义的证书和密钥。

首先将elastic集群、kibana关闭,然后在任意一个节点上使用下面的命令生成http证书。

/usr/share/elasticsearch/bin/elasticsearch-certutil http

在提示是否生成CSR时,选择N。
在这里插入图片描述
在提示是否使用已经存在的CA时选择y。

在这里插入图片描述
输入elastic-statck-ca.p12文件的绝对路径:/usr/share/elasticsearch/elastic-stack-ca.p12

???? elastic-stack-ca.p12就是在6.1步骤中生成的CA。
在这里插入图片描述
接着输入文件密码。

输入证书的有效期。
在这里插入图片描述
在这里插入图片描述
???? 每个节点证书都有自己的私钥,并将为特定的主机名或IP地址颁发。

在这里插入图片描述
???? 节点名称可以自定义,建议使用节点 的hostname.

接着输入第一个节点的hostname。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
至此第一个节点的证书就生成成功了。

继续生成第二个节点的证书,方法和步骤和生成第一个节点的相同,不在赘述,在生成节点证书时仔细阅读提示信息。

在这里插入图片描述
在这里插入图片描述
接着输入要生成的证书文件名,直接回车使用默认名称。
在这里插入图片描述

2.颁发证书

通过上面的操作,在/usr/share/elasticsearch目录下生成了elasticsearch-ssl-http.zip,解压这个文件就能得到各个节点的证书和密钥文件了。
在这里插入图片描述
http.p12复制到elasticsearch的配置目录(先将es.自动配置生成的http.p12备份一下)。

systemctl stop elasticsearch
mv /etc/elasticsearch/certs/http.p12 /etc/elasticsearch/certs/http.p12.old
cp /usr/share/elasticsearch/elasticsearch/node1/http.p12 /etc/elasticsearch/certs/

接着修改http.p12文件的属性。

chown root:elasticsearch /etc/elasticsearch/certs/http.p12
chmod 660 /etc/elasticsearch/certs/http.p12

在这里插入图片描述
分别将手动生成的node2.node3.的http.p12证书复制到各个节点对应的配置目录下,并修改文件属性,步骤和第一个节点的相同。

3.添加私钥密码到keystore

在生成http证书时,如果添加了文件保护密码还需要使用下面的命令将这个密码添加到keystore中。

/usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password

在这里插入图片描述
集群中的每个节点都进行上面的操作。

4.重启集群

完成前面的操作后,重启集群,此时集群的HTTP层就使用我们手动配置的http证书进行加密了。

重启kibana此时你会发现kibana已经无法监控到集群状态了。
在这里插入图片描述

二、为Kibana加密HTTP客户端通信

在上一步生成http证书时,生成了一个elasticsearch-ssl-http.zip文件,这个文件解压后除了

elasticsearch还有一个kibana文件,在kibana文件夹中就包含了kibana与elastic通信的证书文件:elasticsearch-ca.pem。

将elasticsearch-ca.pem复制到kibana的配置目录。

cp /usr/share/elasticsearch/kibana/elasticsearch-ca.pem /etc/kibana/

修改kibana的配置。

vim /etc/kibana/kibana.yml
elasticsearch.ssl.certificateAuthorities: [/etc/kibana/elasticsearch-ca.pem]

在这里插入图片描述
重启kibana,发现kibana已经正常了,说明目前kibana与ES集群之间的通信也启用了我们手动配置的数字证书,ES集群与其他组件之间的安全性得到了进一步的提升。但是细心的同学还是会发现我们浏览器访问kibana时目前还是使用的http协议,这个不是同样会形成Elastic stack的安全短板吗?接下来我们继续配置Elastic stack加密kibana与浏览器之间的通信。

三、加密kibana与浏览器之间的通信

1.为Kibana生成服务器证书和私钥

在node1上使用下面的命令为Kibana生成服务器证书和私钥。

/usr/share/elasticsearch/bin/elasticsearch-certutil csr -name kibana-server -dns example.com,www.example.com

在这里插入图片描述
这个命令将生成有一个通用名称(CN) kibana-server,一个SAN为example.com,另一个SAN为www.example.com的证书文件。

解压csr-bundle.zip会得到kibana-server.csrkibana-server.key
在这里插入图片描述

2.生成签名

发送kibana-server.csr向您的内部CA或受信任的CA请求进行签名,以获得已签名的证书。签名的文件可以是不同的格式,如kibana-server.crt。

/usr/share/elasticsearch/bin/elasticsearch-certutil cert --pem -ca /usr/share/elasticsearch/elastic-stack-ca.p12 -name kibana-server

在这里插入图片描述

上述命令生成certificate-bundle.zip,解压这个文件,会提示是否覆盖kibana-server.key,选y.

unzip certificate-bundle.zip

在这里插入图片描述
kibana-server.crtkibana-server.key复制到kibana配置目录。

cp /usr/share/elasticsearch/kibana-server/kibana-server.crt /etc/kibana/
cp /usr/share/elasticsearch/kibana-server/kibana-server.key /etc/kibana/

在这里插入图片描述
⚠️ 不要照抄我的命令,根据自己的实际情况将证书文件复制到kibana的配置目录。

3.修改kibana配置

修改kibana.yml文件。

 vim /etc/kibana/kibana.yml
server.ssl.enabled: true
server.ssl.certificate: /etc/kibana/kibana-server.crt
server.ssl.key: /etc/kibana/kibana-server.key

在这里插入图片描述

配置文件中要使用绝对路径。

重启kibana,通过上面的操作此时kibana和ES以及kibana和浏览器之间已经全部启用SSL了,因此再访问kibana时就需要使用https://:5601进行访问了。

在这里插入图片描述

转眼长假就要结束了:)

在这里插入图片描述

上一篇:【MySQL】MySQL 数据库主从复制详解-1. 基本概念


下一篇:STL之string模拟实现