如何在 Elasticsearch 部署后安全连接 Logstash?实战详解 HTTPS + TLS 加密配置
你是不是也经历过这样的场景:花了不少时间完成elasticsearch下载、解压、启动,终于看到{"cluster_name": ...}的响应时松了一口气——但下一秒就开始担心:日志数据正通过明文 HTTP 被 Logstash 写入 ES,这真的安全吗?
在生产环境中,这种“裸奔”式的数据传输无异于将企业的敏感日志暴露在网络上。攻击者只需一次简单的抓包,就能获取用户行为、系统错误甚至身份凭证信息。而随着《数据安全法》《网络安全等级保护2.0》等法规落地,保障日志传输的机密性和完整性已不再是“可选项”,而是强制要求。
本文将带你从零开始,深入实践如何在完成elasticsearch下载和基础部署之后,为 Elasticsearch 与 Logstash 之间建立一条真正可信的安全通道——基于 SSL/TLS 的 HTTPS 连接。不讲空话,只说干货,涵盖证书生成、服务端配置、客户端对接、常见坑点排查,全程贴合真实运维场景。
为什么必须加密 Elasticsearch 与 Logstash 的通信?
我们先来直面一个现实问题:如果 Logstash 直接用 HTTP 向 Elasticsearch 发送数据,会面临哪些风险?
- 🚩中间人攻击(MITM):攻击者在网络路径中监听或篡改数据流;
- 🚩数据泄露:日志中可能包含用户 IP、请求参数、堆栈信息等敏感内容;
- 🚩伪造写入:恶意节点冒充 Logstash 向 ES 注入垃圾数据或执行破坏性操作;
- 🚩合规不达标:无法满足等保、GDPR 等对数据传输加密的要求。
Elasticsearch 自 7.x 版本起默认启用 X-Pack Security 安全模块,意味着你可以不再依赖外部反向代理来实现加密,而是直接在 ES 内部开启 HTTPS 支持,并结合证书认证构建完整的信任链。
✅ 核心目标:让 Logstash 以HTTPS + CA 证书验证 + 可选客户端证书的方式安全连接到 Elasticsearch。
第一步:准备证书 —— 使用elasticsearch-certutil快速搭建信任体系
Elastic 提供了一个强大的工具:elasticsearch-certutil,它能帮你快速生成私有 CA 和各类节点证书,适用于测试和生产环境。
1. 生成 CA 证书(根证书)
bin/elasticsearch-certutil ca --out config/certs/elastic-ca.p12 --pass ""这会生成一个名为elastic-ca.p12的 PKCS#12 格式 CA 文件,后续可用于签发服务器和客户端证书。
🔐 建议:生产环境应设置强密码并妥善保管;测试环境可设为空以便调试。
2. 生成 Elasticsearch 节点证书
bin/elasticsearch-certutil cert --ca config/certs/elastic-ca.p12 \ --ip 192.168.1.10,192.168.1.11 \ --dns es-node1,es-node2,localhost \ --out config/certs/elastic-nodes.p12 \ --pass ""这里指定了节点的 IP 和 DNS 名称(SAN 扩展),确保客户端连接时主机名验证能通过。
3. (可选)为 Logstash 生成客户端证书(用于双向认证 mTLS)
bin/elasticsearch-certutil cert --ca config/certs/elastic-ca.p12 \ --name logstash-client \ --out config/certs/logstash.p12 \ --pass "changeit"生成后,把elastic-ca.p12、elastic-nodes.p12拷贝到 Elasticsearch 节点的config/certs/目录下,重启生效。
第二步:配置 Elasticsearch 启用 HTTPS
修改config/elasticsearch.yml,添加以下关键配置:
# 启用安全模块 xpack.security.enabled: true # 启用 HTTP 层 TLS 加密(即 HTTPS) xpack.security.http.ssl.enabled: true xpack.security.http.ssl.keystore.path: certs/elastic-nodes.p12 xpack.security.http.ssl.keystore.password: "" # (可选)启用客户端证书验证(mTLS) xpack.security.http.ssl.client_authentication: optional # 或 required # 设置监听地址和端口 http.host: 0.0.0.0 http.port: 9200⚠️ 注意事项:
- 若使用 PEM 格式证书,需分别指定certificate和key文件路径;
-client_authentication: required表示强制客户端提供有效证书,否则拒绝连接;
- 修改后需重启 Elasticsearch。
启动成功后,访问https://your-es-host:9200应能看到 JSON 响应,且浏览器提示“证书不受信”——这是正常的,因为我们使用的是私有 CA。
第三步:配置 Logstash 输出插件,建立安全连接
接下来是关键一步:让 Logstash 不再“裸连”ES,而是走加密通道。
基础配置(单向认证)—— 验证服务端身份
output { elasticsearch { hosts => ["https://es-node1:9200", "https://es-node2:9200"] index => "app-logs-%{+YYYY.MM.dd}" # 启用 SSL/TLS ssl => true # 指定受信的 CA 根证书(PEM 或 PKCS#12) cacert => "/etc/logstash/certs/ca.crt" # 如果是 PEM 格式 # 或者如果是 p12 格式,使用 keystore # keystore => "/etc/logstash/certs/truststore.p12" # keystore_password => "changeit" # 用户名密码认证(推荐) user => "logstash_writer" password => "secure_password_123" # 强制主机名验证(强烈建议开启) ssl_certificate_verification => true } }📌重点说明:
-cacert必须是 CA 的公钥部分(可以从elastic-ca.p12中导出);
- 可使用如下命令导出 PEM 格式的 CA 证书供 Logstash 使用:
openssl pkcs12 -in elastic-ca.p12 -nokeys -out ca.crt -passin pass:""高级配置(双向认证 mTLS)—— 双重保险
如果你希望 Elasticsearch 也验证 Logstash 的身份,可以启用客户端证书:
output { elasticsearch { hosts => ["https://es-node1:9200"] ssl => true cacert => "/etc/logstash/certs/ca.crt" # 启用客户端证书 keystore => "/etc/logstash/certs/logstash.p12" keystore_password => "changeit" user => "logstash_writer" password => "secure_password_123" ssl_certificate_verification => true } }此时,Elasticsearch 会在 TLS 握手阶段检查客户端是否提供了由同一 CA 签发的有效证书,进一步防止非法接入。
第四步:创建专用账号,实施最小权限原则
即使有了加密,也不能放任所有用户随意写入。我们需要为 Logstash 创建一个专属账户,并赋予最小必要权限。
1. 使用 Kibana 或 API 创建角色
PUT _security/role/logstash_writer { "indices": [ { "names": [ "logstash-*", "app-logs-*" ], "privileges": [ "create_index", "write", "read" ] } ] }2. 创建用户并绑定角色
PUT _security/user/logstash_writer { "password": "strong_password_here", "roles": [ "logstash_writer" ], "full_name": "Logstash Data Writer" }这样,即使证书泄露,攻击者也无法执行删除索引、查看其他数据等高危操作。
常见问题与避坑指南
别急着上线,以下是我们在多个项目中踩过的“雷”,帮你提前绕过:
| 问题现象 | 错误日志片段 | 解决方法 |
|---|---|---|
sun.security.validator.ValidatorException: PKIX path building failed | CA 证书未被信任 | 确保cacert指向正确的根证书文件 |
Hostname verification failed: expected 'es-node1' but got 'IP' | 主机名不匹配 | 在生成证书时加入对应 IP 和 DNS 到 SAN 字段 |
Unauthorized | 认证失败 | 检查用户名密码或客户端证书是否正确加载 |
Connection refused | 连接被拒 | 检查 ES 是否监听 9200 端口,防火墙是否开放 |
| 性能下降明显 | 批量写入延迟升高 | 调整batch_size(默认50)、增加 JVM 堆内存 |
🔧调试技巧:
- 初次部署时可临时关闭主机名验证进行连通性测试:ruby ssl_certificate_verification => false
但上线前务必恢复为true!
- 查看 Logstash 日志中的详细错误:
bash tail -f logs/logstash-plain.log | grep -i ssl
最佳实践清单:打造企业级安全日志链路
为了让你的 ELK 架构更健壮,建议遵循以下最佳实践:
✅使用私有 CA 统一签发证书,避免公共 CA 成本与策略限制
✅禁用弱加密套件,在jvm.options中启用强算法(如 TLSv1.2+)
✅分离读写账号,Logstash 只允许写入特定模式的索引
✅定期轮换证书,建议每 6~12 个月更新一次
✅启用审计日志(Audit Log),记录所有登录与操作行为
✅使用 Keystore 管理密码,避免明文写入配置文件
bin/logstash-keystore create bin/logstash-keystore add ES_PASSWORD然后在配置中引用${ES_PASSWORD}
✅优先使用域名而非 IP 地址,确保证书 SNI 和主机名验证正常工作
写在最后:安全不是功能,而是基础设施的一部分
完成elasticsearch下载只是第一步,真正的挑战在于如何让它跑得既稳定又安全。当你看到第一条日志通过 HTTPS 成功写入 Elasticsearch 时,那种安心感远比“能用”更重要。
今天的配置看似繁琐,但它构筑的是整个日志系统的信任基石。未来你要引入 Filebeat、Beats、Prometheus Exporter,甚至是自研采集器,都可以复用这套证书体系和认证机制。
更重要的是,当审计人员问你:“你们的日志传输有没有加密?” 你可以自信地回答:“有,而且是双向证书认证。”
这才是现代可观测性平台应有的样子。
💡互动时刻:你在配置 Elasticsearch 安全连接时遇到过哪些“诡异”的问题?欢迎在评论区分享你的排错经历,我们一起拆解!
