1.生成CA证书

在CMD命令窗口中执行bin/elasticsearch-certutil.bat ca；将产生新文件 elastic-stack-ca.p12文件，该文件位于根目录下。该 lasticsearch-certutil 命令还会提示你输入密码以保护文件和密钥，请保留该文件的副本并记住其密码。

2、为集群中的每个节点生成证书和私钥

在CMD命令窗口中执行 bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12，将产生新文件 elastic-certificates.p12文件。系统同样会提示你输入密码，你可以输入证书和密钥的密码，也可以按Enter键将密码留空。默认情况下 elasticsearch-certutil 生成没有主机名信息的证书，这意味着你可以将证书用于集群中的每个节点，另外要关闭主机名验证。

3.集群节点配置

将根目录下的elastic-stack-ca.p12、 elastic-certificates.p12复制到config配置文件目录中，如图：

将config目录中的elastic-stack-ca.p12、 elastic-certificates.p12、elasticsearch.keystore这三个文件copy到其它的集群节点对应的config目录中。

4.配置集群中的每个节点以使用其签名证书标识自身并在传输层上启用TLS

在每个ES集群的名节点的elasticsearch.yml配置文件中添加如下配置：

#启用X-Pack(TLS)并指定访问节点证书所需的信息xpack.security.enabled: truexpack.security.transport.ssl.enabled: truexpack.security.transport.ssl.verification_mode: certificatexpack.security.transport.ssl.keystore.path: elastic-certificates.p12xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

5.如果你在创建证书时输入了密码，还需要进行如下操作

在ES集群的每个节点下的bin目录中执行如下两条命令：
bin/elasticsearch-keystore.bat add xpack.security.transport.ssl.keystore.secure_password

bin/elasticsearch-keystore.bat add xpack.security.transport.ssl.truststore.secure_password

6、重启ES服务

重启ES集群服务后在浏览器中请求任何一个节点都会需要进行登录操作，这时需要进行密码设置。

7.为系统默认用户创建密码

***在ES集群服务启动的情况下***为五个默认用户（elastic,apm_system kibana, logstash_system,beats_system）设置密码。

#手动设置每个用户的密码bin/elasticsearch-setup-passwords.bat interactive#自动为用户生成用户命密码bin/elasticsearch-setup-passwords.bat auto

设置完成密码后，ES集群的各个节点会进行同步，不需要在单独进行密码设置。
之后，再访问各个节点输入用户名密码后即可查看节点信息。

8、Kibana连接ES集群

在Kibana的配置文件kibana.yml添加kibana连接ES集群需要的用户名和密码以及节点地址。

启动kibana服务后则需要输入用户名elastic及自己设置的密码进行登录认证。
可以查看ES集群的主从节点的信息。