Коллеги, добрый день!
У нас кластер из 6 нод в SSL, хотим добавить еще 2 ноды.
Вопрос: как можно выпустить сертификаты только для двух новых серверов ?
Если я правильно понял, то если использовать elasticsearch-certgen то придется перевыпускать все сертификаты в том числе для старых нод?
Заранее спасибо!
Спасибо.
При выполнении возникает ошибка.
В чем может быть засада?
[root@elk-data01 ]# /usr/share/elasticsearch/bin/elasticsearch-certutil \
> --ca /etc/elasticsearch/certs/ca.crt\
> --ip "xx.xx.xx.xx"\
> --dns "elk-data07"
Simplifies certificate creation for use with the Elastic Stack
Commands
--------
csr - generate certificate signing requests
cert - generate X.509 certificates and keys
ca - generate a new local certificate authority
Non-option arguments:
command
Option Description
------ -----------
-h, --help show help
-s, --silent show minimal output
-v, --verbose show verbose output
ERROR: ca is not a recognized option
Засада в невнимательном чтении документации.
Нет команды. Вы cert
после elasticsearch-certutil
пропустили.
Спасибо, огромное, действительно пропустил!
Заработало!!!
И последний вопрос, команда требуется ввода пароля для сертификата, а если я его не помню, то единственная возможность это пересоздавать все сертификаты для всех серверов?
Enter password for CA (/ca.crt--ip) :
Было бы странно, если бы это было не так.
Игорь, проконсультируйте, пожалуйста.
Похоже первый раз когда выпускали сертификаты их выпустили без опции --keep-ca-key и теперь мы не можем выпустить сертификаты для новых нод, используя текущий корневой сертификат ca.crt.
Вопрос. Если мы сейчас выпустим заново все сертификаты то:
Как только мы выпустим сертификаты командой
/usr/share/elasticsearch/bin/elasticsearch-certutil cert --in /home/instance.yml --out /home/cert.zip --pem --keep-ca-key
- Не сломается ли кластер, где используются старые сертификаты?
- Можно ли одновременно использовать старые и новые сертификаты. Скажем для уже работающих нод одни, а для новых уже другие?
Заранее спасибо!
Можно использовать несколько CA одновременно. Но все они должны быть перечислены в xpack.security.transport.ssl.certificate_authorities
на всех узлах.
Сама команда elasticsearch-certutil сломать ничего не должна, так как она только генерирует локальные сертификаты, и пока вы эти сертификаты не начнете использовать или переписывать - ничего изменится не должно.
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.