elasticsearch证书过期进行更换

已于 2025-06-17 10:10:49 修改
阅读量240 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Elasticsearch java 文章标签: elasticsearch java
于 2025-06-17 10:10:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YXWik/article/details/148709135

es配置文件

xpack.security.enabled: true
xpack.security.enrollment.enabled: true
cluster.initial_master_nodes: ["iZ8vb6tda6e8mwssfo6usfZ"]
http.host: 0.0.0.0
path:
  data: /usr/sftp/file/es-data  #数据路径
  logs: /usr/sftp/file/es-data/logs   #日志路径


# ====== CERT FIX START (自动生成于 2025年 06月 17日 星期二 09:32:38 CST) ======
# 传输层SSL配置
xpack.security.transport.ssl:
  enabled: true
  verification_mode: certificate
  keystore.path: certs/elasticsearch-cert.p12
  truststore.path: certs/truststore.jks
  keystore.type: PKCS12
  truststore.type: JKS
  truststore.password: changeit
# HTTP层SSL配置
xpack.security.http.ssl:
  enabled: true
  verification_mode: certificate
  keystore.path: certs/elasticsearch-cert.p12
  truststore.path: certs/truststore.jks
  keystore.type: PKCS12
  truststore.type: JKS
  truststore.password: changeit
# ====== CERT FIX END ======

一键生成脚本

#!/bin/bash

# =============================================================================
# Elasticsearch 单机版 SSL 证书修复工具 (适用于 OpenSSL 1.0)
# 版本:3.4 | 日期:2025-06-17
# ============================================================================= 

# --------------------------------------
# 颜色输出函数(必须放在最前)
# --------------------------------------
function status_msg() { echo -e "\e[1;32m[✓] $1\e[0m"; }
function warning_msg() { echo -e "\e[1;33m[!] $1\e[0m"; }
function error_msg() { echo -e "\e[1;31m[✗] $1\e[0m"; exit 1; }

# --------------------------------------
# 配置区域(根据实际环境修改)
# --------------------------------------
ES_HOME="/home/3goodsoft/elasticsearch/elasticsearch-8.8.0"
CERT_DIR="${ES_HOME}/config/certs"
ES_USER="elastic"  # 运行Elasticsearch的用户 
KEYSTORE_PASS="changeit"

# --------------------------------------
# 环境验证
# --------------------------------------
function validate_environment() {
    if [[ $EUID -ne 0 ]]; then
        warning_msg "建议使用 sudo 运行此脚本"
    fi
    
    OPENSSL_VERSION=$(openssl version | awk '{print $2}')
    if [[ "$OPENSSL_VERSION" != "1.0."* ]]; then
        warning_msg "当前OpenSSL版本为$OPENSSL_VERSION,本脚本针对OpenSSL 1.0.x进行了优化"
    fi 
    
    if [[ ! -d "$CERT_DIR" ]]; then 
        status_msg "创建证书目录: $CERT_DIR"
        mkdir -p "$CERT_DIR"
    fi 

    if ! command -v keytool &>/dev/null; then
        error_msg "未找到 keytool,请先安装 JDK(如 OpenJDK 11+)"
    fi

    JAVA_VERSION=$(java -version 2>&1 | grep version | awk '{print $3}' | tr -d '"')
    if (( $(echo "$JAVA_VERSION < 11" | bc -l) )); then
        warning_msg "当前 Java 版本为 $JAVA_VERSION,建议升级到 JDK 11+"
    fi
}

# --------------------------------------
# 重建证书体系(兼容OpenSSL 1.0)
# --------------------------------------
function rebuild_certificates() {
    echo "▬▬▬▬▬▬▬▬▬ 重建证书体系 ▬▬▬▬▬▬▬▬▬"
    cd "$CERT_DIR" || error_msg "无法进入证书目录"

    # 清理旧文件
    rm -f truststore.jks elasticsearch-cert.p12 http.crt http.key http.csr ca.crt ca.key *.tar.gz

    # 获取主机名和IP地址
    HOST_IP=$(hostname -I | awk '{print $1}')
    HOST_NAME=$(hostname)

    # 生成CA证书
    openssl req -new -x509 -days 3650 -nodes \
      -out ca.crt -keyout ca.key \
      -subj "/C=CN/ST=Shanghai/L=Shanghai/O=3GoodSoft/OU=IT/CN=ES-Root-CA"

    # 创建CSR请求文件
    cat > csr.conf <<-EOF
[req]
default_bits = 4096
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C=CN
ST=Shanghai
L=Shanghai
O=3GoodSoft
OU=IT
CN=$HOST_NAME

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = localhost
DNS.2 = $HOST_NAME
IP.1 = 127.0.0.1
IP.2 = $HOST_IP
EOF

    # 生成私钥和CSR
    openssl req -new -sha256 -nodes -out http.csr -newkey rsa:4096 -keyout http.key \
      -config <(cat csr.conf) -extensions req_ext

    # 签署证书
    openssl x509 -req -in http.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
      -out http.crt -days 3650 -extfile <(grep -A 10 '
$$
 req_ext 
$$
' csr.conf) -extensions req_ext

    # 构建PKCS12 keystore(含服务证书+私钥)
    openssl pkcs12 -export -in http.crt -inkey http.key -name "elasticsearch" \
      -out elasticsearch-cert.p12 -passout pass:

    # 构建JKS truststore(更稳定)
    keytool -importcert -alias root-ca -file ca.crt -keystore truststore.jks \
      -storepass "$KEYSTORE_PASS" -noprompt || error_msg "导入证书到 truststore.jks 失败"

    # 清理临时文件
    rm -f http.csr csr.conf

    status_msg "证书体系重建完成"
}

# --------------------------------------
# 更新Elasticsearch配置
# --------------------------------------
function update_es_config() {
    echo "▬▬▬▬▬▬▬▬▬ 更新配置 ▬▬▬▬▬▬▬▬▬"
    local ES_CONF="${ES_HOME}/config/elasticsearch.yml"

    # 备份原始配置
    cp "$ES_CONF" "${ES_CONF}.backup_$(date +%s)"

    # 删除已有的 CERT FIX 段落
    if grep -q "# ====== CERT FIX START" "$ES_CONF"; then
        sed -i '/# ====== CERT FIX START/,/# ====== CERT FIX END/d' "$ES_CONF"
        status_msg "旧的 CERT FIX 配置已清除"
    fi

    # 写入新配置(使用 JKS)
    cat >> "$ES_CONF" <<-EOF
# ====== CERT FIX START (自动生成于 $(date)) ======
# 传输层SSL配置
xpack.security.transport.ssl:
  enabled: true
  verification_mode: certificate
  keystore.path: certs/elasticsearch-cert.p12
  truststore.path: certs/truststore.jks
  keystore.type: PKCS12
  truststore.type: JKS
  truststore.password: $KEYSTORE_PASS
# HTTP层SSL配置
xpack.security.http.ssl:
  enabled: true
  verification_mode: certificate
  keystore.path: certs/elasticsearch-cert.p12
  truststore.path: certs/truststore.jks
  keystore.type: PKCS12
  truststore.type: JKS
  truststore.password: $KEYSTORE_PASS
# ====== CERT FIX END ======
EOF
    status_msg "配置更新完成"
}

# --------------------------------------
# 权限修复
# --------------------------------------
function reset_keystore_and_permissions() {
    echo "▬▬▬▬▬▬▬▬▬ 密钥库与权限 ▬▬▬▬▬▬▬▬▬"
    
    chown -R "$ES_USER":"$ES_USER" "$CERT_DIR"
    chmod 600 "$CERT_DIR"/*.p12 2>/dev/null
    chmod 600 "$CERT_DIR"/*.jks 2>/dev/null

    status_msg "权限修复完成"
}

# --------------------------------------
# 验证修复结果
# --------------------------------------
function verify_fix() {
    echo "▬▬▬▬▬▬▬▬▬ 验证修复 ▬▬▬▬▬▬▬▬▬"
    
    local TRUST_COUNT=$(keytool -list -keystore truststore.jks -storepass "$KEYSTORE_PASS" 2>/dev/null | grep -c 'root-ca')
    (( TRUST_COUNT >= 1 )) && status_msg "truststore 包含 root-ca 证书" || error_msg "信任库异常"

    echo -e "\n\e[1;33m[!] 请手动启动Elasticsearch:\e[0m"
    echo "  sudo -u $ES_USER ${ES_HOME}/bin/elasticsearch"
    echo -e "\n\e[1;33m[!] 验证命令:\e[0m"
    echo "  curl --cacert $CERT_DIR/ca.crt https://localhost:9200/_cluster/health"
}

# --------------------------------------
# 主程序执行流程
# --------------------------------------
clear 
echo -e "\e[1;36m"
echo "==================================================="
echo " Elasticsearch SSL 证书修复工具 v3.4"
echo " 日期:2025-06-17 | 时间:09:00"
echo "==================================================="
echo -e "\e[0m"

validate_environment
rebuild_certificates
update_es_config
reset_keystore_and_permissions
verify_fix
echo -e "\n\e[42m\e[1;37m 修复流程已完成!请检查Elasticsearch日志 \e[0m"
echo -e "日志路径:\e[1;34m$ES_HOME/logs/elasticsearch.log\e[0m"

赋权

chomd +x es_fix.sh

在这里插入图片描述
在这里插入图片描述

关闭es进程
在这里插入图片描述
运行脚本

 ./bin/es_fix.sh

在这里插入图片描述
在这里插入图片描述
运行完脚本后记得查看调整 elasticsearch.yml 配置
启动es

./bin/elasticsearch &
elasticsearch SSL 证书过期解决办法
yonggeit的博客
07-04 3271
SSL 证书过期会导致: • 集群无法增加新节点 • 安全漏洞破坏了证书链的信任。可以使用 SSL 证书API 检查证书到期时间
es管理kabina_Elasticsearch集群许可证管理
weixin_36307344的博客
12-24 906
Elasticsearch集群许可证管理1.许可证有效期管理Elasticsearch集群许可证有效期查看1.通过kibana查看:Your Basic license is activeYour license will expire on May 30, 2019 7:59 AM CST.2.通过ES的http接口查看:curl -XGET -u admin:password 'http://...
es8.12.2版本更新证书实操
Silence_zz的博客
08-09 1093
因为官方自带的ca证书过期,所以这里直接使用官网的第二种方法,新生成ca证书来更新证书,我这里是三个节点的es集群这里官网实际生成了两个传输证书,一个http证书,一个ca公钥和私钥,实际使用传输证书只使用了一个。
Elasticsearch许可证过期导致ES用不了的问题
热门推荐
clearwater
03-04 1万+
Elasticsearch X-Pack许可证过期解决办法事发原因解决办法 事发原因 在那天下午,我写搭建ELK笔记系列博客-Kibana篇的中途,想进入kibana页面进行一些操作,进入发现ES集群和索引状态相关的收集、监控、查看的功能都将被禁用,只能进行数据的读写操作可以正常工作。然后我就查看了ES的日志,发现ES全部抛:ElasticsearchSecurityException: curr...
Elasticsearch 8.X 集群 SSL 证书到期了,怎么更换?
铭毅天下Elasticsearch
02-22 3497
1、SSL 证书过期问题如上两个问题是近期社群讨论比较多的问题,涉及8.X、7.X等版本。在 Elasticsearch 集群中,使用SSL证书对数据传输进行加密是一种常见的安全措施。正如《一本书讲透 Elasticsearch》所讲的一样,Elasticsearch 8.0 之后,安全设置已经成为默认配置,除非手动禁用。。但,随着时间的推移,这些SSL证书会到期,需要进行更换以保持集群的安全性。...
Elasticsearch集群许可证过期问题解决方法汇总
jiedaodezhuti的博客
05-22 2602
(4)下载的许可证文件上传到ES服务器任意位置,许可证文件名可修改.的错误,到时候依然需要再次执行以上命令来保证 es 正常运行。另外一种方式使用kibana来更新证书,如下是具体更新的界面.许可证是提供免费一个月的试用,但是到期之后,就会报这个错误。通过信息的提示,可以定位到你许可证过期需要重新申请。注册成功后,使用的邮件会收到下载链接信息。解决问题,到一定时间以后,依然会出现。(7)再次查看许可证过期时间是否增加。(3)点击下载与ES对应的版本。(5)查看许可证过期时间命令。(6)使用新下载的许可证。
Elasticsearch X-PACK 认证过期
u011250186的博客
07-01 207
Elasticsearch X-PACK 认证过期
SearchGuard证书配置
刘军的博客
09-05 2804
参考: https://www.jianshu.com/p/cc71e7793f6f TLS工具安装 下载TLS工具 https://repo1.maven.org/maven2/com/floragunn/search-guard-tlstool/1.5/ 解压unzip search-guard-tlstool-1.6.zip tlstool-1.6 TLS生成证书配置 复制&l...
K8S安装ES单节点,并开启认证,使用环境变量discovery.seed_hosts es-cluster-0.es-svc.kube-system.svc.cluster.local xpack.license.self_generated.type
03-29
好的,我现在需要帮助用户安装单节点的Kubernetes Elasticsearch(ES)集群,并开启认证,同时使用特定的环境变量。让我先理清楚步骤,确保每一步都正确无误。 首先,用户提到了K8S安装ES单节点,开启认证,环境...
Certbot申请Let‘s Encrypt 90天泛域名证书
m0_74031424的博客
10-09 1076
Certificate is saved at: /etc/letsencrypt/live/DomainName/fullchain.pem (这是证书的和密钥,后缀即为.pem 改名示例:mv fullchain.pem DomainName.pem)/etc/letsencrypt/live/DomainName/privkey.pem (这是pem格式的密钥,后缀即为.key 改名示例:mv privkey.pem DomainName.key)#命令输入后会看到一下内容。
elasticsearch xpack license过期
01-07
在启动elasticsearch是提示: blocking [cluster:monitor/stats] operation due to expired license. Cluster health, cluster stats and indices stats operations are blocked on license expiration. All data operations (read and write) continue to work. If you have a new license, please update it. Otherwise, please
使用Spring Security进行JSON Web Token认证:实现无状态的RESTful服务的6大策略
[使用Spring Security进行JSON Web Token认证:实现无状态的RESTful服务的6大策略](https://curity.io/images/resources/develop/jwt-eddsa-signature-curity.png) # 1. Spring Security与JWT认证概述 在现代的Web...
Elasticsearch集群许可证过期问题处理
围城客的专栏
01-03 4871
Elasticsearch集群许可证过期问题处理
Elasticsearch7.x证书过期简单解决方法
qq_43278717的博客
04-12 3413
此方法可能只适用于7.x的basic版本,其他版本笔者尚未尝试。 笔者所使用的是7.6.1 basic版 开发环境使用的Elasticsearch在经过一次断电后,显示证书不可用: 网上搜索一番后,大部分都是需要申请更新证书及破解之类的方法 问题是如图所示6.3版本后basic版本Elasticsearch已包含证书。 经过一番捣鼓(查看官方文档后)得出更新方法: 首先需要删除原证书: curl -X DELETE "localhost:9200/_license?pretty" 打印如下表示成功.
005 ElasticSearch 许可证过期问题
最新发布
陌殇殇的博客
05-29 949
ElasticSearch许可证过期解决方案 当ElasticSearch许可证过期时,会导致X-pack安全认证等功能失效,报403错误。可通过以下方法解决: 1.更新许可证:使用curl命令上传新许可证文件; 2.切换基础版:执行命令切换到基本许可证(免费)
Elasticsearch证书过期更新
weixin_30413739的博客
01-30 1948
elasticsearch证书过期更新。 1.查看ES证书状态 curl -XGET -u admin:passwd 'http://IP:9200/_license' { "license" : { "status" : "expired", "uid" : "ffe075ec-b906-450f-a614-e308310a032c", "type"...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值