elasticsearch-certutil 创建的证书不能用于生产？

Question

我已按照 https://www.elastic.co/guide/en/elastic-stack-get-started/7.4/get-started-docker.html#get-started-docker-tls 上的说明设置基本身份验证

文档通过

创建证书

  bash -c '
    yum install -y -q -e 0 unzip;
    if [[ ! -f /certs/bundle.zip ]]; then
      bin/elasticsearch-certutil cert --silent --pem --in config/certificates/instances.yml -out /certs/bundle.zip;
      unzip /certs/bundle.zip -d /certs;
    fi;
    chown -R 1000:0 /certs
  '

我似乎只能从本地主机连接到 https 端点，是吗？

Answer 1

是的，elastic 可以生成 CSR 以在 Public CA 或企业 CA 中对其进行签名，或者它只颁发自签名证书。 因此，如果您发布 self-sign - 确保您可以在生产中使用它，但带有“no veryfy certificate”选项。否则，您可以购买或订购免费证书，例如 letsencrypt。