一、手动配置http层SSL

通过前面的配置，我们为集群传输层手动配置了TLS，集群内部节点之间的通信使用手动配置的证书进行加密，但是集群与外部客户端的http层目前还是使用的自动配置，集群中HTTP的通信目前仍然使用自动生成的证书http.p12,这同样具有一定的安全风险，接下来我们 要手动生成http证书。

1.生成http.p12证书

HTTP层的加密也是通过数字证书实现的，如果大家有过使用数字证书的经验这里应该非常容易理解。这里我们使用ES 自带的elasticsearch-certutil工具生成自定义的证书和密钥。

首先将elastic集群、kibana关闭,然后在任意一个节点上使用下面的命令生成http证书。

/usr/share/elasticsearch/bin/elasticsearch-certutil http

在提示是否生成CSR时，选择N。

在提示是否使用已经存在的CA时选择y。

输入elastic-statck-ca.p12文件的绝对路径：/usr/share/elasticsearch/elastic-stack-ca.p12

📓 elastic-stack-ca.p12就是在6.1步骤中生成的CA。

接着输入文件密码。

输入证书的有效期。


👿 每个节点证书都有自己的私钥，并将为特定的主机名或IP地址颁发。

📓 节点名称可以自定义，建议使用节点 的hostname.

接着输入第一个节点的hostname。






至此第一个节点的证书就生成成功了。

继续生成第二个节点的证书，方法和步骤和生成第一个节点的相同，不在赘述，在生成节点证书时仔细阅读提示信息。

接着输入要生成的证书文件名，直接回车使用默认名称。

2.颁发证书

通过上面的操作，在/usr/share/elasticsearch目录下生成了elasticsearch-ssl-http.zip,解压这个文件就能得到各个节点的证书和密钥文件了。

将http.p12复制到elasticsearch的配置目录(先将es.自动配置生成的http.p12备份一下)。

systemctl stop elasticsearch
mv /etc/elasticsearch/certs/http.p12 /etc/elasticsearch/certs/http.p12.old
cp /usr/share/elasticsearch/elasticsearch/node1/http.p12 /etc/elasticsearch/certs/

接着修改http.p12文件的属性。

chown root:elasticsearch /etc/elasticsearch/certs/http.p12
chmod 660 /etc/elasticsearch/certs/http.p12

分别将手动生成的node2.node3.的http.p12证书复制到各个节点对应的配置目录下，并修改文件属性，步骤和第一个节点的相同。

3.添加私钥密码到keystore

在生成http证书时，如果添加了文件保护密码还需要使用下面的命令将这个密码添加到keystore中。

/usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password

集群中的每个节点都进行上面的操作。

4.重启集群

完成前面的操作后，重启集群，此时集群的HTTP层就使用我们手动配置的http证书进行加密了。

重启kibana此时你会发现kibana已经无法监控到集群状态了。

二、为Kibana加密HTTP客户端通信

在上一步生成http证书时，生成了一个elasticsearch-ssl-http.zip文件，这个文件解压后除了

elasticsearch还有一个kibana文件，在kibana文件夹中就包含了kibana与elastic通信的证书文件：elasticsearch-ca.pem。

将elasticsearch-ca.pem复制到kibana的配置目录。

cp /usr/share/elasticsearch/kibana/elasticsearch-ca.pem /etc/kibana/

修改kibana的配置。

vim /etc/kibana/kibana.yml

elasticsearch.ssl.certificateAuthorities: [/etc/kibana/elasticsearch-ca.pem]

重启kibana，发现kibana已经正常了，说明目前kibana与ES集群之间的通信也启用了我们手动配置的数字证书，ES集群与其他组件之间的安全性得到了进一步的提升。但是细心的同学还是会发现我们浏览器访问kibana时目前还是使用的http协议，这个不是同样会形成Elastic stack的安全短板吗？接下来我们继续配置Elastic stack加密kibana与浏览器之间的通信。

三、加密kibana与浏览器之间的通信

1.为Kibana生成服务器证书和私钥

在node1上使用下面的命令为Kibana生成服务器证书和私钥。

/usr/share/elasticsearch/bin/elasticsearch-certutil csr -name kibana-server -dns example.com,www.example.com

这个命令将生成有一个通用名称(CN) kibana-server，一个SAN为example.com，另一个SAN为www.example.com的证书文件。

解压csr-bundle.zip会得到kibana-server.csr和kibana-server.key。

2.生成签名

发送kibana-server.csr向您的内部CA或受信任的CA请求进行签名，以获得已签名的证书。签名的文件可以是不同的格式，如kibana-server.crt。

/usr/share/elasticsearch/bin/elasticsearch-certutil cert --pem -ca /usr/share/elasticsearch/elastic-stack-ca.p12 -name kibana-server

上述命令生成certificate-bundle.zip,解压这个文件，会提示是否覆盖kibana-server.key,选y.

unzip certificate-bundle.zip

将kibana-server.crt和kibana-server.key复制到kibana配置目录。

cp /usr/share/elasticsearch/kibana-server/kibana-server.crt /etc/kibana/
cp /usr/share/elasticsearch/kibana-server/kibana-server.key /etc/kibana/

⚠️ 不要照抄我的命令，根据自己的实际情况将证书文件复制到kibana的配置目录。

3.修改kibana配置

修改kibana.yml文件。

 vim /etc/kibana/kibana.yml

server.ssl.enabled: true
server.ssl.certificate: /etc/kibana/kibana-server.crt
server.ssl.key: /etc/kibana/kibana-server.key

配置文件中要使用绝对路径。

重启kibana，通过上面的操作此时kibana和ES以及kibana和浏览器之间已经全部启用SSL了，因此再访问kibana时就需要使用https://:5601进行访问了。

转眼长假就要结束了:)