Questão relacionada: TLS between Elasticsearch cluster nodes with Let's Encrypt
Acho que lembrei como resolvi:
- Tive que regerar os certificados através do
certbotinformando o FQDN de cada host - Copiei o
fullchaingerado pelocertbotpara dentro do diretório de certificados:
cp /etc/letsencrypt/live/host01.meudominio.com.br/fullchain1.pem /u/elastic/elasticsearch/config/certs/
- Alterei minha configuração para:
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.key: /u/elastic/elasticsearch/config/certs/host01.meudominio.com.br/privkey1.pem
xpack.security.transport.ssl.certificate: /u/elastic/elasticsearch/config/certs/host01.meudominio.com.br/fullchain1.pem
A partir daí o Elasticsearch passou a confiar pois teve acesso a toda a cadeia do certificado...
Não sou especialista em TLS, foi sofrido mesmo pra conseguir fazer funcionar.