ノードのセキュリティ証明書の更新

現在のノード証明書が間もなく期限切れになる場合、新しいノードをセキュアなクラスターに追加する場合、またはセキュリティ侵害により証明書チェーンの信頼が損なわれた場合は、TLS証明書を更新する必要があります。証明書の期限が切れる時期を確認するには、SSL証明書 APIを使用してください。

既存のノード証明書に署名するために使用した元の認証局(CA)のキーと証明書にアクセスできる場合(かつCAを信頼できる場合)、そのCAを使用して新しい証明書に署名することができます[$86efdad1dcfa5222.md]。

組織の新しいCAを信頼しなければならない場合、または自分で新しいCAを生成する必要がある場合は、この新しいCAを使用して新しいノード証明書に署名し、ノードに新しいCAを信頼するよう指示する必要があります。この場合、新しいCAでノード証明書に署名します そして、ノードにこの証明書チェーンを信頼するよう指示します。

どの証明書が期限切れになるかによって、トランスポート層、HTTP層、またはその両方の証明書を更新する必要があるかもしれません。

シナリオに関係なく、Elasticsearchはデフォルトで5秒間隔でSSLリソースの更新を監視します。新しい証明書とキーのファイル(またはキーストア)をElasticsearchの設定ディレクトリにコピーするだけで、ノードは変更を検出し、キーと証明書を再読み込みします。

Elasticsearchはelasticsearch.yml設定を再読み込みしないため、自動証明書およびキーの再読み込みを利用したい場合は同じファイル名を使用する必要があります。

elasticsearch.yml設定を更新する必要がある場合や、セキュア設定に保存されているキーやキーストアのパスワードを変更する必要がある場合は、ローリング再起動を完了する必要があります。Elasticsearchはセキュア設定に保存されているパスワードの変更を自動的に再読み込みしません。

ローリング再起動が推奨されます

セキュリティ証明書のインプレース更新は可能ですが、クラスターでローリング再起動を使用する方が安全です。インプレース更新はローリング再起動のいくつかの複雑さを回避しますが、以下のリスクが伴います:

  • PEMファイルを使用する場合、証明書とキーは別々のファイルにあります。両方のファイルを同時に更新する必要があり、そうしないとノードは新しい接続を確立できない一時的な期間が発生する可能性があります。
  • 証明書とキーを更新しても、既存の接続を自動的に更新することはありません。これは、間違いを犯してもノードが機能しているように見える可能性があることを意味しますが、それは単に既存の接続があるためです。ノードが他のノードと接続できなくなる可能性があり、ネットワークの障害やノードの再起動から回復できなくなることがあります。