Elasticsearch证书报错failed to load SSL configuration [xpack.security.http.ssl] 问题分析
原创Elasticsearch证书报错failed to load SSL configuration [xpack.security.http.ssl] 问题分析
原创
问题背景
在为Elasticsearch集群配置SSL证书中,需要重启Elasticsearch服务使配置生效。在Elasticsearch服务重启过程中,提示SSL证书配置导入失败。
完整报错信息
failed to load SSL configuration [xpack.security.http.ssl] - cannot read configured [jks] keystore (as a truststore)
问题分析
failed to load SSL configuration [xpack.security.http.ssl] - cannot read configured [jks] keystore (as a truststore) 表示Elasticsearch在加载SSL配置时无法读取你配置的Java Keystore(JKS)文件,可能的原因包括文件路径、文件格式不正确,或者权限设置问题。
排查步骤
1. 检查keystore和truststore配置
在Elasticsearch的配置文件elasticsearch.yml中,检查SSL的相关设置:
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: "/path/to/your/keystore.jks"
xpack.security.http.ssl.keystore.password: "keystore_password"
xpack.security.http.ssl.truststore.path: "/path/to/your/truststore.jks"
xpack.security.http.ssl.truststore.password: "truststore_password"检查事项:
- 路径是否正确:确保keystore.path和truststore.path指定的路径是正确的,并且文件存在。
- 密码是否正确:确保提供的 keystore.password和truststore.password与生成的JKS文件匹配。
- 文件权限:确保Elasticsearch进程有权限读取 keystore和truststore 文件。
可以使用以下命令检查权限:
ls -l /path/to/your/keystore.jks可以使用以下命令修改权限:
sudo chmod 644 /path/to/your/keystore.jks
sudo chown elasticsearch:elasticsearch /path/to/your/keystore.jks2. 检查keystore和truststore文件格式正确
Elasticsearch支持多种SSL证书文件格式,包括JKS(Java KeyStore)、PKCS#12 (.p12 文件),以及PEM格式的证书文件。
如果使用JKS格式,请确保证书和私钥正确导入到了JKS文件中。如果证书文件格式不正确,Elasticsearch会无法加载SSL配置。
2.1生成或转换keystore和truststore
如果需要生成一个新的JKS文件或转换现有证书为JKS,我们可以使用keytool或OpenSSL工具进行处理。
- 使用keytool生成一个新的JKS
keytool -genkey -alias mycert -keystore keystore.jks -keyalg RSA -keysize 2048 -validity 3650- 将PEM格式的证书和私钥转换为PKCS#12(.p12)格式
openssl pkcs12 -export -in certificate.pem -inkey privatekey.pem -out keystore.p12 -name "myalias"- 将PKCS#12转换为JKS格式
keytool -importkeystore -srckeystore keystore.p12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks2.2 使用PKCS#12而非JKS(推荐)
PKCS#12是更现代的证书格式,相较于JKS更为推荐。我们可以直接使用.p12 文件,而无需转换为JKS。
修改Elasticsearch配置文件elasticsearch.yml以使用.p12格式的证书:
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: "/path/to/your/keystore.p12"
xpack.security.http.ssl.keystore.password: "keystore_password"
xpack.security.http.ssl.truststore.path: "/path/to/your/keystore.p12" # 可以使用相同的p12文件作为 truststore
xpack.security.http.ssl.truststore.password: "keystore_password"3. 验证证书文件
如果使用的是 JKS 文件,可以通 keytool查看其中的证书:
keytool -list -v -keystore /path/to/your/keystore.jks确保其中包含有效的证书条目和私钥。如果证书没有正确导入或者损坏,我们就需要重新生成或导入证书。
4. 检查elasticsearch.yml配置的完整性
确保配置文件中的SSL配置部分没有其他冲突或者遗漏的配置项:
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: "/path/to/your/keystore.jks"
xpack.security.http.ssl.keystore.password: "keystore_password"
xpack.security.http.ssl.truststore.path: "/path/to/your/truststore.jks"
xpack.security.http.ssl.truststore.password: "truststore_password"
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: "/path/to/your/keystore.jks"
xpack.security.transport.ssl.keystore.password: "keystore_password"
xpack.security.transport.ssl.truststore.path: "/path/to/your/truststore.jks"
xpack.security.transport.ssl.truststore.password: "truststore_password"5. 重启Elasticsearch服务
完成配置之后,重启Elasticsearch以使新的SSL证书配置生效。
./bin/elasticsearch -d -p pid关于如何正确生成SSL证书,大家可以参考我的文章https://cloud.tencent.com/developer/article/2457640
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
