java - 如何使用 HTTPS 连接 'spring boot application (2.3.4.RELEASE) with elasticsearch 7.9.2'-6ren

java - 如何使用 HTTPS 连接 'spring boot application (2.3.4.RELEASE) with elasticsearch 7.9.2'

转载作者：行者123 更新时间：2023-12-04 22:42:10

30

4

我是 spring-boot 和 Elasticsearch 技术堆栈的新手，我想建立安全的 HTTPS 连接
在我的 spring-boot 应用程序和本地运行的 Elasticsearch 服务器之间。
这些是我在 elasticsearch.yml 中所做的配置
为 Elasticsearch 服务器提供凭据
xpack.security.enabled:真
xpack.security.transport.ssl.enabled:真
用于 Elasticsearch 集群内的安全节点间连接
xpack.security.transport.ssl.verification_mode:证书
xpack.security.transport.ssl.keystore.path:弹性证书.p12
xpack.security.transport.ssl.truststore.path:弹性证书.p12
用于与客户端和 elasticsearch 集群的安全 Https 连接
xpack.security.http.ssl.enabled:真
xpack.security.http.ssl.keystore.path:弹性证书.p12
xpack.security.http.ssl.truststore.path:弹性证书.p12
xpack.security.http.ssl.client_authentication:可选
启用 PKI 身份验证
xpack.security.authc.realms.pki.pki1.order: 1
我已根据此链接生成由生成的 CA 签名的 CA 和客户端证书
https://www.elastic.co/blog/elasticsearch-security-configure-tls-ssl-pki-authentication
我已将 CA 添加到我的 java keystore 中。
这是我用来与 elasticsearch 服务器建立连接的 java 代码。
@配置
公共(public)类 RestClientConfig 扩展 AbstractElasticsearchConfiguration {

private static final Logger LOG = LoggerFactory.getLogger(RestClientConfig.class);

private static final String CERT_FILE = "client.p12";
private static final String CERT_PASSWORD = "";
private static final String USER_NAME = "elastic";
private static final String USER_PASS = "pwd";

@Override
@Bean
public RestHighLevelClient elasticsearchClient() {

    final ClientConfiguration clientConfiguration = ClientConfiguration.builder()
            .connectedTo("localhost:9200")  // set the address of the Elasticsearch cluster
            .usingSsl(createSSLContext())  // use the SSLContext with the client cert
            .withBasicAuth(USER_NAME, USER_PASS)   // use the headers for authentication
            .build();
    return RestClients.create(clientConfiguration).rest();
}

private SSLContext createSSLContext() {
    try {
        SSLContext sslContext = SSLContext.getInstance("TLS");
        KeyManager[] keyManagers = getKeyManagers();
        sslContext.init(keyManagers, null, null);
        return sslContext;
    } catch (Exception e) {
        LOG.error("cannot create SSLContext", e);
    }
    return null;
}

private KeyManager[] getKeyManagers()
        throws KeyStoreException, NoSuchAlgorithmException, IOException, CertificateException, UnrecoverableKeyException {
    try (InputStream inputStream = getClass().getClassLoader().getResourceAsStream(CERT_FILE)) {
        KeyStore clientKeyStore = KeyStore.getInstance("PKCS12");
        clientKeyStore.load(inputStream, CERT_PASSWORD.toCharArray());
        KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
        kmf.init(clientKeyStore, CERT_PASSWORD.toCharArray());
        return kmf.getKeyManagers();
    }
}

我的客户端证书名为“client.p12”，包含在 spring-boot 应用程序的资源文件夹中。在 Elasticsearch 方面，一切似乎都很好。
但是当我运行 spring-boot 应用程序时，它会给出这个警告和异常
无法创建索引:主机名“localhost”与对等方提供的证书主题不匹配(CN=instance)；嵌套异常是 java.lang.RuntimeException:
主机名“localhost”与对等方提供的证书主题不匹配(CN=instance)
java.io.IOException:主机名“localhost”与对等方提供的证书主题不匹配(CN=instance)
原因:javax.net.ssl.SSLPeerUnverifiedException:主机名“localhost”与对等方提供的证书主题不匹配(CN=instance)
我这样做是因为我想稍后将 Elasticsearch 服务器迁移到另一个 VPS 托管。
这是我用于生成客户端证书的命令
bin/elasticsearch-certutil 证书 --ca
配置/弹性堆栈-ca.p12
-name "CN=something,OU=Consulting Team,DC=mydomain,DC=com"
进入
客户端.p12 ENTER
进入
在互联网上搜索此错误，我发现我的客户端证书存在问题。它与带有弹性节点的 SAN 名称有关。但我的知识很少
关于这些证书的东西。所以这对我来说真的很困惑。如果有人可以给我详细的解释为什么会发生这种情况并解决这个问题，我真的很感激并感激不尽。适当的链接也将有所帮助。这个问题
已经问过了
How to connect 'spring boot 2.1 with elasticsearch 6.6' with cluster node 'https'?
关联
但我没有运气。

最佳答案

您的问题与另一个问题相似，请参见此处:Certificate for <localhost> doesn't match any of the subject alternative names
因此，我假设如果您将 SAN 扩展 localhost 添加为 DNS，并将 localhost 的 ip 地址添加到 elasticsearch 证书，它应该可以工作。因此添加以下附加参数:--dns localhost --ip 127.0. 0.1 .你可以试试下面的命令并在这里分享你的结果吗？

bin/elasticsearch-certutil cert --ca config/elastic-stack-ca.p12 -name "CN=something,OU=Consulting Team,DC=mydomain,DC=com" --dns localhost --ip 127.0. 0.1

顺便说一下，您已将 Elasticsearch 配置为可选地请求客户端证书，但未标记为必需，请参阅: xpack.security.http.ssl.client_authentication: optional .所以它不是必需的，因此创建一个 KeyManager 并从中构造一个 sslcontext 是没有意义的。但我认为您需要导出 Elasticsearch 证书的公共(public)证书，并通过将其转换为 TrustManager 并从中创建 sslcontext 将其提供给您的 http 客户端。我在这里有一个工作示例: ElasticSearch RestHighLevelClient SSL example .

关于java - 如何使用 HTTPS 连接 'spring boot application (2.3.4.RELEASE) with elasticsearch 7.9.2'，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/67657426/

30

4

0

文章推荐： go - 类型错误返回 grpc tls 凭据的接口(interface)

文章推荐： json - 当我使用 JIRA REST API 发布时，我发送什么 JSON？

文章推荐： sass - 使用 webpack 导入目录中的所有 sass 文件

文章推荐： delphi - 排查 Indy 中的 "SSL Handshake errors"

centos - 如何编写需要 sl-release 或 centos-release 或 redhat-release 的 .spec 文件？
我认为我的问题与“https://serverfault.com/q/299179”和“https://serverfault.com/q/283330/71790”有些相关，但其中任何一个都没有令我
android - app-arm64-v8a-release.apk,app-armeabi-v7a-release.apk 和 app-x86_64-release.apk 在flutter中有什么区别？
我生成了 APK 对于我的 flutter 项目和 F:\build\app\outputs\apk\release 我有 3 种类型的 apk 文件，包括 output.json 文件。他们是: *
android - 谷歌播放 : Beta release to Production release
我们最近决定更新 Beta release 的新应用程序在 Google Play 上，现在读完指南后，我心里有一些问题，想了解更多，我用谷歌搜索进一步了解找到了一些答案，但还有一些我不确定的东西，
release-management - Release Management 2015 中的组件、工具和操作之间有什么区别？
我正在尝试使用发布管理作为构建版本的工具，但我很难理解码件、工具和操作之间的真正区别。有人可以分解这三个概念之间的差异以及它们如何相互配合吗？最佳答案由于它适用于基于代理的版本: 工具旨在提供自定
maven - jgitflow :release-finish is not deleting the release branch
我最近完成了使用 jgitflow:release-finish 合并一个发布分支来掌握和开发。 .构建成功。但是现在我正在尝试使用 jgitflow:releast-start 创建一个新分支.但
iphone - 如果我向集合发送 -release 消息，它是否会向它所拥有的所有对象发送 -release 消息？
我一直在读到，如果一个集合“被释放”，它也会释放它的所有对象。另一方面，我还读到，一旦集合被释放，集合就会释放它的对象。但最后一件事可能并不总是发生，正如苹果所说。系统决定是否取消分配。在大多数情况
maven-release-plugin - Maven Release Plugin - 多模块项目跳过模块
我在具有以下布局的多模块项目上使用 maven-release-plugin: ROOT/ + parent + module1 + module2 在parent的pom中，使用modu
android - ionic : on-release event is triggered before releasing touch
我正在使用 ionic 构建移动应用。我面临一个严重的问题。我必须使用 on-touch 和 on-release 事件，但问题是每当我触摸时，on-release 甚至也会立即触发而没有实际释放
c++ - CComPtr 的 ".Release()"和 "->Release()"之间的区别？
谁能解释清楚两者之间的区别是什么.Release()和->Release() 在 CComPtr 上？确切地说，两种情况下内存管理是如何发生的？最佳答案 CComPtr 的operator-> 函
iphone - release 和 release 然后设置为 nil 的区别
两个片段有什么区别？ [myObj release]; 和 [myObj release]; myObj = nil; 最佳答案如果你只是释放一个对象，那么它就会变成释放对象。如果您尝试对已释放的
maven-release-plugin - maven 发布插件 release.properties 文件包含未加密的密码
我正在运行 maven 发布插件 (org.apache.maven.plugins:maven-release-plugin:2.3.2) 并注意到当通过命令行。我想知道是否有办法关闭它。我使用
nuget - 错误NU5012-nuget包无法找到路径(/bin/release/MyProject/bin/release)
我正在尝试通过运行nuget pack -properties Configuration=Release命令来更新我的nuget软件包，但这会给我以下错误: Unable to find 'bin/
ms-release-management - 部署步骤期间 Microsoft Release Management 超时
我们正在使用 Microsoft 的发布管理将我们的 Web 应用程序部署到我们的测试环境 (QA)。它是一个直接的 MVC.Net Web 应用程序。我们的构建生成一个 web 部署包，我们有一个命
azure-devops - Azure 开发运营 : Check status release from other release
我有一个在 X 环境中发布的版本 A。另一方面，我有一个在环境 Y 中发布的版本 B。问题是我想知道我是否可以在版本 B 中检查版本 A 的状态，这样我就可以抛出错误而不发布版本 B。我不知道是否
memory-management - Release Release UIWebView content from the memory，强制app释放内存
我正在开发一个使用大量图像的应用程序，我正在使用 UIWebView 使用 JavaScript 代码(我正在使用 UIZE 库)来表示大约 200 张图像，问题当我完成 UIWebView 时，我在
c# - 为什么 Marshal.Release 不对我的 COM 对象调用 Release？
我已阅读 Marshal.GetIUnknownForObject 的文档它说: Always use Marshal.Release to decrement the reference count
ios - 使用 [self.labelIBOutlet release] 与 [labelIBOutlet release]
为了成为 iPhone SDK 上的好内存公民，我一直在玩内存。然而，我仍然很难理解"self.something" 和只是"something" 之间的区别。据我了解，"self.somethi
linux -/etc/lsb-release 与/etc/os-release
我需要使用 bash 找出我正在运行的 Linux 发行版。找到this page ，这非常有帮助。但是我的系统有两个/etc/*-release 文件 /etc/lsb-release /etc/
maven - Release Plugin - 如何将 Release Candidate 放入 Snapshot 目录
我想使用 Maven Release Plugin 将 Release Candidates 发布到我的 Nexus Snapshot 存储库。将 RC 部署到 Nexus 不是问题，但我想利用 m
LabVIEW:机械 Action "Latch until released"和 "Switch until released"有什么区别？
在什么情况下我们应该使用“Latch until release”而不是“Switch until release”？根据 LabVIEW 2011 Help : Latch until relea

首页

博学

6Ren·AI

商城

java - 如何使用 HTTPS 连接 'spring boot application (2.3.4.RELEASE) with elasticsearch 7.9.2'