elasticsearch-certutil 创建的证书在生产中不可用?

【问题标题】:certificate created by elasticsearch-certutil is not usable in production?elasticsearch-certutil 创建的证书在生产中不可用?
【发布时间】:2020-08-09 15:58:05
【问题描述】:

我已按照https://www.elastic.co/guide/en/elastic-stack-get-started/7.4/get-started-docker.html#get-started-docker-tls 上的说明设置基本身份验证

文档通过

创建证书 
  bash -c '
    yum install -y -q -e 0 unzip;
    if [[ ! -f /certs/bundle.zip ]]; then
      bin/elasticsearch-certutil cert --silent --pem --in config/certificates/instances.yml -out /certs/bundle.zip;
      unzip /certs/bundle.zip -d /certs;
    fi;
    chown -R 1000:0 /certs
  '

看来我只能从本地主机连接到https 端点,是吗?

【问题讨论】:

    标签: elasticsearch certificate


    【解决方案1】:

    是的,elastic 可以生成 CSR 以在公共 CA 或公司 CA 中对其进行签名,或者它仅颁发自签名证书。 因此,如果您发布了自签名 - 确保您可以在生产中使用它,但使用“无非常证书”选项。否则,您可以购买或订购免费证书,例如letsencrypt。

    【讨论】:

    • 我只是想防止一些不知名的人访问和弄乱我的索引,我想设置一个密码。 https 不是必需的。no verify certificate 允许我这样做吗? (在这种情况下我会使用 http 还是 https?)
    • 如果您不需要任何 ssl 层 - 您应该在 elasticsearch.yml 中仅使用“xpack.security.enabled: true”选项。但是当它不被 ssl 覆盖时——有人可以通过网络嗅探你的密码——因为它将通过网络以纯文本形式传输。
    • 我不认为你可以用xpack.seucity.enabled打开基本身份验证而不在集群模式下打开ssl..discuss.elastic.co/t/…
    • xpack.security.enabled 启用了对 elasticsearch 的基本身份验证。您不需要为 http 或传输配置加密。但如果你愿意,你可以。这是三个不同的部分。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2015-04-14
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-12-19
    • 2020-01-27
    • 2020-06-15
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode