如何解决如何使用 HTTPS 将“spring boot 应用程序 (2.3.4.RELEASE) 与 elasticsearch 7.9.2”连接起来
我是 spring-boot 和 Elasticsearch 技术栈的新手,我想建立安全的 HTTPS 连接 在我的 spring-boot 应用程序和本地运行的弹性搜索服务器之间。 这些是我在elasticsearch.yml中做的配置
为 elasticsearch 服务器提供凭据
xpack.security.enabled: 真
xpack.security.transport.ssl.enabled: 真
用于elasticsearch集群内的安全节点间连接
xpack.security.transport.ssl.verification_mode:证书
xpack.security.transport.ssl.keystore.path:elastic-certificates.p12
xpack.security.transport.ssl.truststore.path:elastic-certificates.p12
用于与客户端和 elasticsearch 集群的安全 Https 连接
xpack.security.http.ssl.enabled: 真
xpack.security.http.ssl.keystore.path:elastic-certificates.p12
xpack.security.http.ssl.truststore.path:elastic-certificates.p12
xpack.security.http.ssl.client_authentication:可选
开启PKI认证
xpack.security.authc.realms.pki.pki1.order: 1
我已经根据这个链接生成了由生成的 CA 签署的 CA 和客户端证书
https://www.elastic.co/blog/elasticsearch-security-configure-tls-ssl-pki-authentication
并且我已将 CA 添加到我的 Java 密钥库中。
这是我用来与 elasticsearch 服务器建立连接的 java 代码。
@配置 公共类 RestClientConfig 扩展 AbstractElasticsearchConfiguration {
<uses-permission android:name="android.permission.VIBRATE"/>
我的客户端证书名为“client.p12”,包含在 spring-boot 应用程序的资源文件夹中。在 elasticsearch 方面,一切似乎都很好。 但是当我运行 spring-boot 应用程序时,它给出了这个警告和异常
无法创建索引:主机名“localhost”与对等方提供的证书主题不匹配(CN=instance);嵌套异常是 java.lang.RuntimeException: 主机名“localhost”与对等方提供的证书主题不匹配(CN=instance)
java.io.IOException: Host name 'localhost' 与 peer 提供的证书主题不匹配(CN=instance)
Caused by: javax.net.ssl.SSLPeerUnverifiedException: Host name 'localhost' 与 peer 提供的证书主题不匹配 (CN=instance)
我这样做是因为我有一个想法,以后将弹性搜索服务器迁移到另一个 VPS 托管。
这是我用来生成客户端证书的命令
bin/elasticsearch-certutil cert --ca
配置/弹性堆栈-ca.p12
-name "CN=something,OU=Consulting Team,DC=mydomain,DC=com"
进入
client.p12 回车
回车
在互联网上搜索这个错误我发现我的客户端证书有问题。它与具有弹性节点的 SAN 名称有关。但我的知识很少 关于这些证书的东西。所以这对我来说真的很困惑。如果有人能给我详细解释为什么会发生这种情况并解决这个问题,我真的很感激并感激。正确的链接也将有所帮助。这个问题 已经问了 How to connect 'spring boot 2.1 with elasticsearch 6.6' with cluster node 'https'? 关联 但我没有运气。
解决方法
您的问题与另一个问题类似,请参见此处:Certificate for <localhost> doesn't match any of the subject alternative names
所以我假设如果你将 SAN 扩展 localhost 作为 DNS 和 localhost 的 IP 地址添加到 elasticsearch 证书中,它应该可以工作。因此添加以下附加参数:--dns localhost --ip 127.0. 0.1
。你可以试试下面的命令并在这里分享你的结果吗?
bin/elasticsearch-certutil cert --ca config/elastic-stack-ca.p12 -name "CN=something,OU=Consulting Team,DC=mydomain,DC=com" --dns localhost --ip 127.0. 0.1
顺便说一下,您已将 Elasticsearch 配置为可选择请求客户端证书,但未标记为必需,请参阅:xpack.security.http.ssl.client_authentication: optional
。因此它不是必需的,因此创建 KeyManager 并从中构造 sslcontext 是没有意义的。但我认为您需要导出 Elasticsearch 证书的公共证书,并通过将其转换为 TrustManager 并从中创建 sslcontext 将其提供给您的 http 客户端。我在这里有一个工作示例:ElasticSearch RestHighLevelClient SSL example。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。