Elasticsearch证书报错failed to load SSL configuration [xpack.security.http.ssl] 问题分析

admin管理员组

文章数量:1794759

Elasticsearch证书报错failed to load SSL configuration [xpack.security.http.ssl] 问题分析

问题背景

在为Elasticsearch集群配置SSL证书中，需要重启Elasticsearch服务使配置生效。在Elasticsearch服务重启过程中，提示SSL证书配置导入失败。

完整报错信息

代码语言：txt复制

failed to load SSL configuration [xpack.security.http.ssl] - cannot read configured [jks] keystore (as a truststore)

问题分析

failed to load SSL configuration [xpack.security.http.ssl] - cannot read configured [jks] keystore (as a truststore) 表示Elasticsearch在加载SSL配置时无法读取你配置的Java Keystore(JKS)文件，可能的原因包括文件路径、文件格式不正确，或者权限设置问题。

排查步骤

1. 检查keystore和truststore配置

在Elasticsearch的配置文件elasticsearch.yml中，检查SSL的相关设置：

代码语言：yaml复制

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: "/path/to/your/keystore.jks"
xpack.security.http.ssl.keystore.password: "keystore_password"
xpack.security.http.ssl.truststore.path: "/path/to/your/truststore.jks"
xpack.security.http.ssl.truststore.password: "truststore_password"

检查事项：

• 路径是否正确：确保keystore.path和truststore.path指定的路径是正确的，并且文件存在。
• 密码是否正确：确保提供的 keystore.password和truststore.password与生成的JKS文件匹配。
• 文件权限：确保Elasticsearch进程有权限读取 keystore和truststore 文件。

可以使用以下命令检查权限：

代码语言：bash复制

ls -l /path/to/your/keystore.jks

可以使用以下命令修改权限：

代码语言：bash复制

sudo chmod 644 /path/to/your/keystore.jks
sudo chown elasticsearch:elasticsearch /path/to/your/keystore.jks

2. 检查keystore和truststore文件格式正确

Elasticsearch支持多种SSL证书文件格式，包括JKS(Java KeyStore)、PKCS#12 (.p12 文件)，以及PEM格式的证书文件。

如果使用JKS格式，请确保证书和私钥正确导入到了JKS文件中。如果证书文件格式不正确，Elasticsearch会无法加载SSL配置。

2.1生成或转换keystore和truststore

如果需要生成一个新的JKS文件或转换现有证书为JKS，我们可以使用keytool或OpenSSL工具进行处理。

• 使用keytool生成一个新的JKS

代码语言：bash复制

keytool -genkey -alias mycert -keystore keystore.jks -keyalg RSA -keysize 2048 -validity 3650

• 将PEM格式的证书和私钥转换为PKCS#12(.p12)格式

代码语言：bash复制

openssl pkcs12 -export -in certificate.pem -inkey privatekey.pem -out keystore.p12 -name "myalias"

• 将PKCS#12转换为JKS格式

代码语言：bash复制

keytool -importkeystore -srckeystore keystore.p12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

2.2 使用PKCS#12而非JKS（推荐）

PKCS#12是更现代的证书格式，相较于JKS更为推荐。我们可以直接使用.p12 文件，而无需转换为JKS。

修改Elasticsearch配置文件elasticsearch.yml以使用.p12格式的证书：

代码语言：yaml复制

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: "/path/to/your/keystore.p12"
xpack.security.http.ssl.keystore.password: "keystore_password"
xpack.security.http.ssl.truststore.path: "/path/to/your/keystore.p12"  # 可以使用相同的p12文件作为 truststore
xpack.security.http.ssl.truststore.password: "keystore_password"

3. 验证证书文件

如果使用的是 JKS 文件，可以通 keytool查看其中的证书：

代码语言：bash复制

keytool -list -v -keystore /path/to/your/keystore.jks

确保其中包含有效的证书条目和私钥。如果证书没有正确导入或者损坏，我们就需要重新生成或导入证书。

4. 检查elasticsearch.yml配置的完整性

确保配置文件中的SSL配置部分没有其他冲突或者遗漏的配置项：

代码语言：yaml复制

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: "/path/to/your/keystore.jks"
xpack.security.http.ssl.keystore.password: "keystore_password"
xpack.security.http.ssl.truststore.path: "/path/to/your/truststore.jks"
xpack.security.http.ssl.truststore.password: "truststore_password"
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: "/path/to/your/keystore.jks"
xpack.security.transport.ssl.keystore.password: "keystore_password"
xpack.security.transport.ssl.truststore.path: "/path/to/your/truststore.jks"
xpack.security.transport.ssl.truststore.password: "truststore_password"

5. 重启Elasticsearch服务

完成配置之后，重启Elasticsearch以使新的SSL证书配置生效。

代码语言：bash复制

./bin/elasticsearch -d -p pid

关于如何正确生成SSL证书，大家可以参考我的文章

本文标签： Elasticsearch证书报错failed to load SSL configuration xpacksecurityhttpssl 问题分析