Перейти к основному содержимому
Версия: 5.0

Замена старых сертификатов

Копирование новых сертификатов для OpenSearch

Общее описание

Обновление сертификатов в OpenSearch — ключевой этап при настройке безопасного взаимодействия между узлами кластера. Этот процесс включает перенос новых сертификатов и закрытых ключей на соответствующие узлы, что обеспечивает шифрование данных и аутентификацию сервисов.

Обозначения:

$PATH_NEW_NODE_CERT_KEY — путь к новому сертификату и приватному ключу

Обратите внимание!

Перед перезапуском отключайте аллокацию или перезапускайте узлы по очереди, ожидая восстановления кластера.

  1. Перенос сертификатов SM Data Master
cp $PATH_NEW_NODE_CERT_KEY/{node-cert.pem,node-key.pem} ${OS_HOME}/config/
  1. Перезапуск узла SM Data Master
systemctl stop opensearch 
systemctl start opensearch
  1. Проверка успешного подключения узла к кластеру
GET _cat/nodes?v
  1. Перезапуск data-узлов

Перезапуск SM Data Storage следует выполнять поэтапно: сначала стоит выполнить последовательную перезагрузку узлов с параметром routing_mode cold, затем - warm, после - hot.

Копирование сгенерированных сертификатов для SME-RE и Inventory

предупреждение

Данные действия следует выполнять, если для этих компонентов используются сертификаты, отличные от тех, что применяются на узлах SM Data Master и SM Data Storage.

  1. Перенос сертификатов SME-RE
cp $PATH_NEW_NODE_CERT_KEY/{node-cert.pem,node-key.pem} ${OS_HOME}/utils/sme-re
  1. Перезапуск узлов SME-RE
systemctl stop sme-re
systemctl start sme-re
  1. Проверка логов на наличие ошибок
tail -f /app/logs/opensearch/sme-re/main.log
  1. Перенос сертификатов Inventory
cp $PATH_NEW_NODE_CERT_KEY/{ca-cert.pem} ${OS_HOME}/utils/inventory

Копирование сгенерированных сертификатов для остальных компонентов Smart Monitor

  1. Перенос сертификатов для OpenSearch Dashboards(далее OSD)
cp $PATH_NEW_NODE_CERT_KEY/{node-cert.pem,node-key.pem} ${OSD_HOME}/config
  1. Перезапуск узлов OSD
systemctl stop opensearch-dashboards
systemctl start opensearch-dashboards

  1. Проверка успешного подключения OSD к OpenSearch

  2. Перенос сертификатов для Logstash

cp $PATH_NEW_NODE_CERT_KEY/{node-cert.pem,node-key.pem} ${LOGSTASH_HOME}/config/
  1. Перезапуск узлов Logstash
systemctl stop logstash
systemctl start logstash
  1. Проверка логов Logstash на наличие ошибок
tail -f /app/logs/logstash/logstash-plain.log
  1. Перенос сертификатов Smart Beat Manager
cp $PATH_NEW_NODE_CERT_KEY/{cert.pem,key.pem} ${SBM_HOME}/etc/ssl
  1. Перезапуск SmartBeatManager
systemctl stop smartBeatManager
systemctl start smartBeatManager