1.生成CA證書
在CMD命令窗口中執行bin/elasticsearch-certutil.bat ca;將產生新文件 elastic-stack-ca.p12文件,該文件位於根目錄下。該 lasticsearch-certutil 命令還會提示你輸入密碼以保護文件和密鑰,請保留該文件的副本並記住其密碼。瀏覽器
二、爲集羣中的每一個節點生成證書和私鑰
在CMD命令窗口中執行 bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12,將產生新文件 elastic-certificates.p12文件。系統一樣會提示你輸入密碼,你能夠輸入證書和密鑰的密碼,也能夠按Enter鍵將密碼留空。默認狀況下 elasticsearch-certutil 生成沒有主機名信息的證書,這意味着你能夠將證書用於集羣中的每一個節點,另外要關閉主機名驗證。elasticsearch
3.集羣節點配置
將根目錄下的elastic-stack-ca.p十二、 elastic-certificates.p12複製到config配置文件目錄中,如圖:
將config目錄中的elastic-stack-ca.p十二、 elastic-certificates.p十二、elasticsearch.keystore這三個文件copy到其它的集羣節點對應的config目錄中。
spa
4.配置集羣中的每一個節點以使用其簽名證書標識自身並在傳輸層上啓用TLS
在每一個ES集羣的名節點的elasticsearch.yml配置文件中添加以下配置:.net
#啓用X-Pack(TLS)並指定訪問節點證書所需的信息 xpack.security.enabled: true xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.keystore.path: elastic-certificates.p12 xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
5.若是你在建立證書時輸入了密碼,還須要進行以下操做
在ES集羣的每一個節點下的bin目錄中執行以下兩條命令:
bin/elasticsearch-keystore.bat add xpack.security.transport.ssl.keystore.secure_password
code
bin/elasticsearch-keystore.bat add xpack.security.transport.ssl.truststore.secure_passwordblog
六、重啓ES服務
重啓ES集羣服務後在瀏覽器中請求任何一個節點都會須要進行登陸操做,這時須要進行密碼設置。圖片
7.爲系統默認用戶建立密碼
***在ES集羣服務啓動的狀況下***爲五個默認用戶(elastic,apm_system kibana, logstash_system,beats_system)設置密碼。ssl
#手動設置每一個用戶的密碼 bin/elasticsearch-setup-passwords.bat interactive #自動爲用戶生成用戶命密碼 bin/elasticsearch-setup-passwords.bat auto
設置完成密碼後,ES集羣的各個節點會進行同步,不須要在單獨進行密碼設置。
以後,再訪問各個節點輸入用戶名密碼後便可查看節點信息。
get
八、Kibana鏈接ES集羣
在Kibana的配置文件kibana.yml添加kibana鏈接ES集羣須要的用戶名和密碼以及節點地址。同步
啓動kibana服務後則須要輸入用戶名elastic及本身設置的密碼進行登陸認證。
能夠查看ES集羣的主從節點的信息。
window下安裝ElasticSearch集羣及Kibana