上一节设置了ES集群。详见：第七节 ES集群配置。

        两台机器密码不变，还是：

IP	说明
10.140.176.73	主
10.140.180.72	从

1 主机生成密码文件

1.1 生成ca证书

        进入ES目录下，生成CA证书，需要输入用户名和密码，也可不输入直接回车。

bin/elasticsearch-certutil ca

1.2 生成p12密钥

        使用第一步生成的证书，生成p12密钥，需要输入密码的时候也可以直接回车不输入：

bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

        此时多了两个文件：

1.3 在config目录下，新建文件夹certs。

1.4 将elastic-certificates.p12文件，复制到config/certs文件夹下。

2 从机配置

        将主机ES目录下生成的elastic-certificates.p12和elastic-stack-ca.p12复制到从机ES目录下，从机目录下config中创建certs文件夹，将elastic-certificates.p12复制到config/certs文件夹下。

3 修改配置文件

        主机和从机配置文件，最上面添加配置：

xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.license.self_generated.type: basic
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: certs/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: certs/elastic-certificates.p12

4 赋予权限

        主机和从机都给els用户（启动es的用户）赋予权限：

chown -R els /usr/local/elasticsearch/

5 配置完毕

        可以启动服务了。