我有一个ES集群(ES版本7.4.2),已经运行了3年。当我运行以下查询时。
GET _ssl/certificates
我正在得到输出。
"expiry" : "2022-11-20T07:27:29.000Z"
/usr/share/elasticsearch对于新的"temescls01-ca.p12"证书我运行'./bin/elasticsearch-certutil cert --ca /etc/elasticsearch/certs/temescls01-ca.p12',当我输入'CA CERT password'时,它生成一个新的temescl01-ca。p12证书。
用于新的'temescls01-certificates.p12'证书我运行'./bin/elasticsearch-certutil cert /etc/elasticsearch/certs/temescls01-certificates.p12',输入'keystore password'。
我将旧证书的密码用于两个新证书。
我能够创建所有2个证书。但是,当我按照这里的文档停止elasticsearch服务并用新证书替换旧证书时,该节点无法加入集群。当我替换旧证书时,该节点可以正常加入集群。
一个来自elasticsearch.yml的例子
elasticsearch.yml
xpack.security。启用:真xpack.security.transport.ssl.enabled:真xpack.security.transport.ssl。verification_mode:证书xpack.security.transport.ssl.keystore.path:确实的事情/temescls01-certificates.p12xpack.security.transport.ssl.keystore.password: XXXXXXXXXxpack.security.transport.ssl.truestore.path:确实的事情/temescls01-certificates.p12xpack.security.transport.ssl.truestore.password: XXXXXXXXX
是我做错了什么吗?
不能延长证书的有效期。但是你可以创建一个新的。如果您正在使用pkcs# 12格式的SSL/TLS (p12)证书,您可以使用本文创建一个新证书。
https://medium.com/p/99820ff87615