Elasticsearch：让您的Elastic Stack 8.x安装更加安全

保护您的 Elastic Stack：使用自定义证书

在当今数字时代，网络安全至关重要。特别是当涉及到处理敏感数据时，确保您的系统免受未经授权的访问非常重要。如果您正在使用 Elastic Stack 8.x，则使用自定义证书是增强安全性、保护您的数据和通信以及建立用户信任的最佳方式。

自定义证书的优势

• 提升安全性： 自定义证书可加密您的数据和通信，防止未经授权的访问和窃听。
• 增强信任： 拥有自定义证书向您的用户表明您的网站或应用程序是合法的，从而建立信任并增强您的信誉。
• 改善用户体验： 自定义证书可消除浏览器中的安全警告，为您的用户提供更顺畅、更无缝的体验。

步骤 1：创建证书签名请求 (CSR)

1. 打开 openssl.cnf 配置文件并将其内容复制到一个新文件中，将其命名为 elastic-csr.cnf。
2. 在 elastic-csr.cnf 中找到以下几行：

[req]
distinguished_name = req_distinguished_name

[req_distinguished_name]
0.organizationName = Elastic Corporation

3. 用您自己的组织名称替换 Elastic Corporation。

步骤 2：生成私钥

1. 运行以下命令生成私钥：

openssl genrsa -out elastic-private.key 2048

2. 请务必记住此私钥并将其保存在安全的位置，因为您稍后需要使用它。

步骤 3：生成证书签名请求 (CSR)

1. 运行以下命令生成 CSR：

openssl req -config elastic-csr.cnf -key elastic-private.key -new -out elastic.csr

2. 您需要输入有关您组织的信息，例如国家/地区、州、城市、公司名称等。

步骤 4：从证书颁发机构 (CA) 获取证书

1. 将您的 CSR 提交给 CA 以获取证书。
2. CA 会验证您的信息并向您颁发证书。

步骤 5：配置 Elastic Stack 以使用自定义证书

1. 将您的证书和私钥复制到 Elasticsearch、Kibana 和其他 Elastic Stack 组件的配置目录中。
2. 在每个组件的配置文件中，将证书和私钥的路径配置为 https.cert 和 https.key。
3. 重启 Elastic Stack 服务。

步骤 6：测试您的安装

1. 访问您的 Elasticsearch 集群，您应该能够看到一个安全连接 (HTTPS) 和一个有效的证书。
2. 访问您的 Kibana 仪表板，您也应该能够看到一个安全连接 (HTTPS) 和一个有效的证书。

结论

通过使用自定义证书，您可以显著提高 Elastic Stack 的安全性，保护您的数据和通信，增强用户信任并改善用户体验。立即按照本指南进行操作，让您的 Elastic Stack 8.x 安装更加安全可靠。

常见问题解答

1. 我可以使用免费的证书颁发机构吗？
   是的，您可以使用 Let's Encrypt 等免费的 CA，但它们通常会颁发有效期较短的证书。

2. 如何更新我的证书？
   当您的证书过期时，您需要生成一个新的 CSR 并从 CA 获取新的证书。然后，按照步骤 5 重新配置 Elastic Stack。

3. 我可以使用自签名证书吗？
   虽然自签名证书可以提供一些保护，但它们不如由受信任的 CA 颁发的证书那么安全。

4. 自定义证书需要花费多少钱？
   从商业 CA 获取证书的费用从每年几美元到数百美元不等。

5. 如何判断我的证书是否有效？
   您可以使用在线工具（例如 SSL 检查器）检查您的证书的有效性和状态。