我是 Elastic 搜索的新手。通过Java High Level Rest Client将我的 Spring 启动应用程序与 Elastic 搜索集成在一起,并通过在设置证书和密码后提供以下属性来启用安全性:
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
此证书会过期吗?如果是,那么如何在生产中处理这种情况?
是的,你是对的。默认情况下,CA 和证书将在 3 年后过期。
您可以按照 Elasticsearch 文档点击下面的 GET API 来检查到期:
GET /_ssl/certificates
根据我的研发:通过"elasticsearch-certutil"生成的自签名SSL证书在创建后3年后过期,然后我们需要部署新证书。
如果使用上述 API 无法在 kibana 中获得所有结果,您可以使用以下内容手动检查:
openssl pkcs12 -in **/path/to/cert/cert.p12** -clcerts -nodes -passin
pass: | openssl x509 -noout -enddate
这适用于.p12证书。在 centos7 中,输出将如下所示:
MAC verified OK
notAfter=Nov 14 08:48:50 2024 GMT