elasticsearch-certgen

Deprecated in 6.1.

elasticsearch-certutil に置き換えられました。

elasticsearch-certgen コマンドは、Elastic Stack で使用するための認証局 (CA)、証明書署名要求 (CSR)、および署名済み証明書の作成を簡素化します。このコマンドは非推奨ですが、作成した CA、CSR、または証明書を置き換える必要はありません。

Synopsis

Shell

  1. bin/elasticsearch-certgen
  2. (([--cert <cert_file>] [--days <n>] [--dn <name>] [--key <key_file>]
  3. [--keysize <bits>] [--pass <password>] [--p12 <password>])
  4. | [--csr])
  5. [-E <KeyValuePair>] [-h, --help] [--in <input_file>] [--out <output_file>]
  6. ([-s, --silent] | [-v, --verbose])

Description

デフォルトでは、コマンドはインタラクティブモードで実行され、各インスタンスに関する情報を求められます。インスタンスは、Transport Layer Security (TLS) または SSL 証明書を必要とする Elastic Stack の任意の部分です。構成に応じて、Elasticsearch、Logstash、Kibana、および Beats はすべて証明書と秘密鍵を必要とする場合があります。

各インスタンスに必要な最小値は名前です。これは単にホスト名であり、証明書の共通名として使用されます。完全な識別名を使用することもできます。IP アドレスと DNS 名はオプションです。複数の値をカンマ区切りの文字列として指定できます。IP アドレスまたは DNS 名が提供されない場合、TLS または SSL 構成でホスト名の検証を無効にする可能性があります。

指定したパラメータに応じて、出力ファイルのパスや CA 秘密鍵のパスワードなど、必要な情報を求められます。

elasticsearch-certgen コマンドは、バッチ操作を容易にするためのサイレントモードの操作もサポートしています。詳細については、Using elasticsearch-certgen in Silent Mode を参照してください。

出力ファイルは、各インスタンスの署名済み証明書と秘密鍵を含む zip ファイルです。CA を生成することを選択した場合(デフォルトの動作)、証明書と秘密鍵は出力ファイルに含まれます。CSR を生成することを選択した場合は、商業または組織固有の認証局に提供して署名済み証明書を取得する必要があります。署名済み証明書は、Elastic Stack のセキュリティ機能で動作するために PEM 形式である必要があります。

Parameters

  • --cert <cert_file>
  • 既存の CA 証明書を使用して新しいインスタンス証明書と鍵を生成することを指定します。これは <cert_file> 引数で提供されます。このパラメータは -csr パラメータと一緒に使用することはできません。
  • --csr
  • 証明書署名要求モードで動作することを指定します。
  • --days <n>
  • 生成された鍵が有効な日数を表す整数値を指定します。デフォルト値は 1095 です。このパラメータは -csr パラメータと一緒に使用することはできません。
  • --dn <name>
  • 生成された CA 証明書に使用される識別名を定義します。デフォルト値は CN=Elastic Certificate Tool Autogenerated CA です。このパラメータは -csr パラメータと一緒に使用することはできません。
  • -E <KeyValuePair>
  • 設定を構成します。
  • -h, --help
  • すべてのコマンドパラメータを返します。
  • --in <input_file>
  • サイレントモードで実行するために使用されるファイルを指定します。入力ファイルは YAML ファイルである必要があります。これは Using elasticsearch-certgen in Silent Mode で説明されています。
  • --key <key_file>
  • CA 証明書の秘密鍵ファイルを指定します。このパラメータは -cert パラメータが使用される場合は常に必要です。
  • --keysize <bits>
  • 生成された RSA 鍵に使用されるビット数を定義します。デフォルト値は 2048 です。
  • --out <output_file>
  • 出力ファイルのパスを指定します。
  • --pass <password>
  • CA 秘密鍵のパスワードを指定します。-key パラメータが提供されている場合、これは既存の秘密鍵ファイルのパスワードです。そうでない場合、これは生成された CA 鍵に適用されるべきパスワードです。このパラメータは -csr パラメータと一緒に使用することはできません。
  • --p12 <password>
  • 各インスタンス証明書と鍵のために PKCS#12 (.p12 または .pfx) コンテナファイルを生成します。生成されたファイルは、提供されたパスワードで保護されます。パスワードは空白でもかまいません。このパラメータは -csr パラメータと一緒に使用することはできません。
  • -s, --silent
  • 最小限の出力を表示します。
  • -v, --verbose
  • 詳細な出力を表示します。

Examples

Using elasticsearch-certgen in Silent Mode

サイレントモードで操作を使用するには、インスタンスに関する情報を含む YAML ファイルを作成する必要があります。次の形式に一致する必要があります:

Yaml

  1. instances:
  2.   - name: "node1"
  3.    ip:
  4.       - "192.0.2.1"
  5.    dns:
  6.       - "node1.mydomain.com"
  7.   - name: "node2"
  8.    ip:
  9.       - "192.0.2.2"
  10.       - "198.51.100.1"
  11.   - name: "node3"
  12.   - name: "node4"
  13.    dns:
  14.       - "node4.mydomain.com"
  15.       - "node4.internal"
  16.   - name: "CN=node5,OU=IT,DC=mydomain,DC=com"
  17.    filename: "node5"
インスタンスの名前。この名前は単純な文字列値であるか、
識別名 (DN) であることができます。これは唯一の必須フィールドです。
このインスタンスの IP アドレスを表す文字列のオプションの配列。
IPv4 と IPv6 の値が許可されています。値は、サブジェクト
代替名として追加されます。
このインスタンスの DNS 名を表す文字列のオプションの配列。
値はサブジェクト代替名として追加されます。
このインスタンスに使用するファイル名。この名前は、出力内の
インスタンスのファイルを含むディレクトリの名前として使用されます。また、
ディレクトリ内のファイルの名前にも使用されます。このファイル名には拡張子を付けないでください。
注意: インスタンスに提供された name が有効なファイル名を表さない場合、filename フィールドが存在する必要があります。

YAML ファイルの準備ができたら、elasticsearch-certgen コマンドを使用して証明書または証明書署名要求を生成できます。-in パラメータを使用してファイルの場所を指定します。例えば: 

  1. bin/elasticsearch-certgen -in instances.yml

このコマンドは、CA 証明書と秘密鍵、および YAML ファイルにリストされているインスタンスの証明書と秘密鍵を生成します。