涉及版本声明：

Linux: CentOS 7.9 64位
Jdk: 1.8.0_11
ElasticSearch: elasticsearch-7.16.2
下载地址：https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.16.2-x86_64.rpm
Ik-Analysis: elasticsearch-analysis-ik-7.16.2
下载地址：https://github.com/medcl/elasticsearch-analysis-ik/releases
analysis-pinyin: elasticsearch-analysis-pinyin-7.16.2
下载地址：https://github.com/medcl/elasticsearch-analysis-pinyin/releases
elasticsearch-head: elasticsearch-head5.0.0
下载地址：https://codeload.github.com/mobz/elasticsearch-head/tar.gz/refs/tags/v5.0.0
Elasticsearch与jdk版本对应关系

image.png

一、 安装环境准备

主机规划：
192.168.100.181 es01
192.168.100.182 es02
192.168.100.183 es03
配置：
2 VCPU、2G内存、20G硬盘

修改服务器名称:

hostnamectl set-hostname es01
hostnamectl set-hostname es02
hostnamectl set-hostname es03

之前已经配置好了三节点集群，现在要给集群配置TLS安全通信。

生成ca文件

在任一节点上使用elasticsearch-certutil为集群生成CA文件

cd /usr/share/elasticsearch/
./bin/elasticsearch-certutil ca

1、出现提示时，接受默认文件名，即elastic-stack-ca.p12。该文件包含CA的公共证书和用于为每个节点签署证书的私钥。

2、输入你的CA密码。如果不部署到生产环境，您可以选择将密码留空。

在此节点上为集群中的节点生成证书和私钥。包括了elastic-stack-ca.p12，在上一步中生成的输出文件。

./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

--ca 用于签署证书的CA文件的名称，默认文件名elastic-stack-ca.p12
1、输入你的CA的密码，或按进入如果在上一步中没有配置。
2、为证书创建一个密码，并接受默认文件名。
输出文件是一个名为elastic-certificates.p12。该文件包含节点证书、节点密钥和CA证书。
3、将elastic-certificates.p12拷贝到每一节点的/etc/elasticsearch/目录下。
4、在每个节点上，给elastic-certificates.p12修改权限,让elasticsearch用户可以读取这个文件。

chmod  660 /etc/elasticsearch/elastic-certificates.p12

使用TLS加密各节点间通信

传输网络层用于集群中节点之间的内部通信。启用安全功能时，必须使用TLS来确保节点之间的通信是加密的。
现在已经生成了证书颁发机构和证书，现在更新您的集群以使用这些文件。

Elasticsearch监视所有配置为TLS相关节点设置值的文件，如证书、密钥、密钥库或信任库。如果您更新这些文件中的任何一个，比如当您的主机名改变或者您的证书到期时，Elasticsearch会重新加载它们。按照全局弹性搜索确定的频率轮询文件是否有更改resource.reload.interval.high设置，默认为5秒。

1、在集群的所有节点上执行以下操作，

vim /etc/elasticsearch/elasticsearch.yml

添加以下配置

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate 
#因为你正在使用相同的elastic-certificates.p12文件，将验证模式设置为证书：
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

保存后退出；
完整的配置文件
egrep -v "^$|^#" /etc/elasticsearch/elasticsearch.yml 
cluster.name: my-els
node.name: es01
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
bootstrap.memory_lock: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate 
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
network.host: 0.0.0.0
http.port: 9200
http.cors.enabled: true    
http.cors.allow-origin: "*"
bootstrap.system_call_filter: false
discovery.seed_hosts: ["192.168.100.181", "192.168.100.182","192.168.100.183"]
cluster.initial_master_nodes: ["192.168.100.181", "192.168.100.182","192.168.100.183"]

2、如果在创建节点证书时输入了密码，需要运行以下命令将密码存储在Elasticsearch密钥库中:

cd /usr/share/elasticsearch/

# ./bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
warning: usage of JAVA_HOME is deprecated, use ES_JAVA_HOME
Future versions of Elasticsearch will require Java 11; your Java version from [/usr/local/jdk1.8.0_11/jre] does not meet this requirement. Consider switching to a distribution of Elasticsearch with a bundled JDK. If you are already using a distribution with a bundled JDK, ensure the JAVA_HOME environment variable is not set.
Enter value for xpack.security.transport.ssl.keystore.secure_password: 

[root@es01 elasticsearch]# ./bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password
warning: usage of JAVA_HOME is deprecated, use ES_JAVA_HOME
Future versions of Elasticsearch will require Java 11; your Java version from [/usr/local/jdk1.8.0_11/jre] does not meet this requirement. Consider switching to a distribution of Elasticsearch with a bundled JDK. If you are already using a distribution with a bundled JDK, ensure the JAVA_HOME environment variable is not set.
Enter value for xpack.security.transport.ssl.truststore.secure_password: 

在三个节点上都存储了证书密码后，并且确认已经给/etc/elasticsearch/elastic-certificates.p12 授予660权限后。
须执行完整的集群重启。配置为使用TLS进行传输的节点无法与使用未加密传输连接的节点通信(反之亦然)。
启动elasticsearch服务

systemctl start elasticsearch.service

然后开启账号密码认证。