告别明文密码：用自签名证书为Elasticsearch 7.x/8.x集群开启TLS与PKI认证（附Kibana对接实战）

构建零信任架构：Elasticsearch集群的TLS与PKI认证全指南

在数字化时代，数据安全已成为企业生存的底线。想象一下，当你的Elasticsearch集群暴露在内网中，仅靠用户名和密码作为防护屏障，就像用木栅栏保护金库——看似安全，实则危机四伏。本文将带你深入探索如何通过TLS加密和PKI认证，为Elasticsearch构建坚不可摧的零信任安全防线。

1. 为什么企业级Elasticsearch需要PKI认证

传统用户名密码认证存在三大致命缺陷：静态凭证易泄露、权限管理粗放、缺乏设备身份验证。我曾亲眼见证一家金融科技公司因开发人员在GitHub误提交配置文件，导致数据库凭证泄露，造成数百万损失。

PKI（公钥基础设施）认证通过数字证书实现双向身份验证，带来四个维度的安全提升：

• 凭证不可复制：私钥永远不出现在网络传输中
• 细粒度访问控制：证书可绑定具体服务和用户角色
• 自动过期机制：无需人工轮换密码
• 完整审计追踪：每个操作都可追溯到具体证书持有者

# 传统认证与PKI认证对比 +---------------------+---------------------------+-----------------------------+ | 安全维度 | 用户名密码 | PKI证书认证 | +---------------------+---------------------------+-----------------------------+ | 认证方式 | 单向验证 | 双向验证 | | 凭证存储 | 配置文件明文存储 | 硬件安全模块(HSM)保护 | | 生命周期管理 | 手动变更 | 自动过期和吊销 | | 典型攻击面 | 暴力破解/中间人 | 需要物理窃取证书 | +---------------------+---------------------------+-----------------------------+

2. 构建私有PKI体系：从CA根证书开始

建立可信的PKI体系始于严谨的CA管理。我们采用三级证书架构：离线根CA→中间CA→终端实体证书。这种分层设计既能保障根证书安全，又便于证书的日常签发管理。

2.1 创建离线根CA（关键安全实践）

# 在隔离环境中生成4096位的RSA根CA密钥 openssl genrsa -aes256 -out rootCA.key 4096 # 创建有效期10年的根证书（实际生产建议5年） openssl req -x509 -new -nodes -key rootCA.key -sha384 -days 3650 \ -out rootCA.crt -subj "/C=CN/ST=Secure/O=Internal CA/CN=Elastic Root CA"

重要安全提示：根CA私钥必须存储在离线加密介质中，如密码保护的USB驱动器或HSM设备。日常签发使用中间CA，根CA仅在中间CA过期时启用。

2.2 部署中间CA用于日常签发

# 生成中间CA密钥和CSR openssl genrsa -out intermediateCA.key 4096 openssl req -new -key intermediateCA.key -out intermediateCA.csr \ -subj "/C=CN/ST=Secure/O=Internal CA/CN=Elastic Intermediate CA" # 用根CA签发中间证书（有效期2年） openssl x509 -req -in intermediateCA.csr -CA rootCA.crt -CAkey rootCA.key \ -CAcreateserial -out intermediateCA.crt -days 730 -sha384 \ -extfile <(printf "basicConstraints=critical,CA:true\nkeyUsage=critical,keyCertSign,cRLSign")

将中间CA证书链合并为PEM文件，供后续验证使用：

cat intermediateCA.crt rootCA.crt > ca-chain.crt

3. Elasticsearch节点证书配置实战

3.1 为集群节点签发证书

每个Elasticsearch节点需要独立的服务器证书，包含以下关键属性：

• Subject Alternative Name (SAN)：覆盖所有可能的DNS名称和IP
• Extended Key Usage：明确服务器认证用途
• 适当的有效期：通常不超过1年

# 生成节点私钥（无需密码，便于服务自动加载） openssl genrsa -out elastic-node01.key 2048 # 创建CSR配置文件csr.conf cat > csr.conf <<EOF [req] distinguished_name = req_distinguished_name req_extensions = v3_req prompt = no [req_distinguished_name] C = CN ST = Secure O = YourOrg CN = elastic-node01.yourdomain.com [v3_req] keyUsage = critical, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = elastic-node01.yourdomain.com DNS.2 = elastic-node02.yourdomain.com DNS.3 = elasticsearch DNS.4 = localhost IP.1 = 192.168.1.100 IP.2 = 127.0.0.1 EOF # 生成CSR并签发证书 openssl req -new -key elastic-node01.key -out elastic-node01.csr -config csr.conf openssl x509 -req -in elastic-node01.csr -CA intermediateCA.crt -CAkey intermediateCA.key \ -CAcreateserial -out elastic-node01.crt -days 365 -sha384 -extfile csr.conf -extensions v3_req

3.2 配置Elasticsearch安全通信

在elasticsearch.yml中启用TLS并配置PKI认证：

xpack.security.enabled: true xpack.security.transport.ssl.enabled: true xpack.security.transport.ssl.verification_mode: certificate xpack.security.transport.ssl.client_authentication: required xpack.security.transport.ssl.keystore.path: certs/elastic-node01.p12 xpack.security.transport.ssl.truststore.path: certs/truststore.p12 xpack.security.http.ssl.enabled: true xpack.security.http.ssl.client_authentication: optional xpack.security.http.ssl.keystore.path: certs/elastic-node01.p12 xpack.security.http.ssl.truststore.path: certs/truststore.p12

生成PKCS12格式的密钥库和信任库：

# 合并证书链 cat elastic-node01.crt intermediateCA.crt rootCA.crt > node-full-chain.crt # 创建PKCS12密钥库 openssl pkcs12 -export -in node-full-chain.crt -inkey elastic-node01.key \ -out elastic-node01.p12 -name "elastic-node01" -password pass:YourStrongPassword # 创建信任库（包含CA链） keytool -importcert -alias ca-chain -file ca-chain.crt -keystore truststore.p12 \ -storetype PKCS12 -storepass YourStrongPassword -noprompt

4. Kibana与客户端证书集成

4.1 为Kibana服务配置HTTPS

server.ssl.enabled: true server.ssl.keystore.path: /path/to/kibana.p12 server.ssl.keystore.password: YourStrongPassword server.ssl.truststore.path: /path/to/truststore.p12 server.ssl.truststore.password: YourStrongPassword elasticsearch.ssl.certificateAuthorities: [ "/path/to/ca-chain.crt" ] elasticsearch.ssl.verificationMode: certificate

4.2 实现客户端证书认证

创建角色映射文件role_mapping.yml：

# 将特定证书OU映射到Kibana管理员角色 cn=admin,ou=devops,o=yourorg: - "kibana_admin" # 开发团队证书拥有只读权限 ou=developers,o=yourorg: - "kibana_user"

在kibana.yml中启用PKI认证：

xpack.security.authc.providers: - pki: order: 0 enabled: true truststore.path: /path/to/truststore.p12 truststore.password: YourStrongPassword authorization_realms: - pki_mapping

5. 高级安全加固与排错指南

5.1 证书自动化轮换方案

通过Kubernetes CSI驱动或HashiCorp Vault实现动态证书管理：

# Vault签发Elasticsearch证书的示例策略 path "pki/issue/elasticsearch" { capabilities = ["create", "update"] allowed_parameters = { "common_name" = ["elastic-node*.yourdomain.com"] "alt_names" = ["*.yourdomain.com"] "ttl" = ["720h"] } }

5.2 常见故障排查清单

• 证书验证失败：检查CA链完整性openssl verify -CAfile ca-chain.crt node.crt
• 密钥不匹配：验证密钥指纹openssl pkey -in key.pem -pubout | openssl sha256
• SAN配置错误：查看证书详情openssl x509 -in cert.crt -text -noout
• 权限问题：确保Elasticsearch用户有密钥文件读取权限chmod 400 *.key

5.3 安全监控建议

• 使用Elasticsearch自身的审计日志监控证书使用情况
• 设置告警规则检测异常证书请求模式
• 定期检查证书吊销列表(CRL)或配置OCSP响应器

在实施过程中，我发现最容易被忽视的是证书撤销机制。曾有一个离职员工仍能通过未吊销的证书访问集群，直到我们部署了完整的OCSP检查才消除这一隐患。建议每季度至少进行一次证书审计，确保没有"僵尸证书"存在。