Добавление новой data-ноды в кластер

Коллеги, добрый день!
У нас кластер из 6 нод в SSL, хотим добавить еще 2 ноды.
Вопрос: как можно выпустить сертификаты только для двух новых серверов ?
Если я правильно понял, то если использовать elasticsearch-certgen то придется перевыпускать все сертификаты в том числе для старых нод?
Заранее спасибо!

https://www.elastic.co/guide/en/elasticsearch/reference/7.4/encrypting-communications-hosts.html

Спасибо.
При выполнении возникает ошибка.
В чем может быть засада?

[root@elk-data01 ]# /usr/share/elasticsearch/bin/elasticsearch-certutil \
> --ca /etc/elasticsearch/certs/ca.crt\
> --ip "xx.xx.xx.xx"\
> --dns "elk-data07"
Simplifies certificate creation for use with the Elastic Stack

Commands
--------
csr - generate certificate signing requests
cert - generate X.509 certificates and keys
ca - generate a new local certificate authority

Non-option arguments:
command

Option         Description
------         -----------
-h, --help     show help
-s, --silent   show minimal output
-v, --verbose  show verbose output
ERROR: ca is not a recognized option

Засада в невнимательном чтении документации. :slight_smile:

Нет команды. Вы cert после elasticsearch-certutil пропустили.

Спасибо, огромное, действительно пропустил!
Заработало!!!
И последний вопрос, команда требуется ввода пароля для сертификата, а если я его не помню, то единственная возможность это пересоздавать все сертификаты для всех серверов?

Enter password for CA (/ca.crt--ip) :

Было бы странно, если бы это было не так.

1 Like

Игорь, проконсультируйте, пожалуйста.
Похоже первый раз когда выпускали сертификаты их выпустили без опции --keep-ca-key и теперь мы не можем выпустить сертификаты для новых нод, используя текущий корневой сертификат ca.crt.
Вопрос. Если мы сейчас выпустим заново все сертификаты то:
Как только мы выпустим сертификаты командой

/usr/share/elasticsearch/bin/elasticsearch-certutil cert --in /home/instance.yml --out /home/cert.zip --pem --keep-ca-key
  1. Не сломается ли кластер, где используются старые сертификаты?
  2. Можно ли одновременно использовать старые и новые сертификаты. Скажем для уже работающих нод одни, а для новых уже другие?
    Заранее спасибо!

Можно использовать несколько CA одновременно. Но все они должны быть перечислены в xpack.security.transport.ssl.certificate_authorities на всех узлах.

Сама команда elasticsearch-certutil сломать ничего не должна, так как она только генерирует локальные сертификаты, и пока вы эти сертификаты не начнете использовать или переписывать - ничего изменится не должно.