X-pack 的破解基本思路是先安装正常版本，之后替换破解的jar包来实现，

1.先说正常安装 x-pack

先下载最新版本的 x-pack，里面包含了 es,kibana,logstash 新版本的x-pack
下载地址：https://artifacts.elastic.co/downloads/packs/x-pack/x-pack-6.2.2.zip
之后到es目录执行

./bin/elasticsearch-plugin install file:///opt/x-pack-6.2.2.zip

需要同意下协议 回车 输入y 回车 会提示安装成功

破解 x-pack
解压 x-pack-6.2.2.zip 进入elasticsearch目录，找到x-pack-core-6.2.2.jar

6.2 与之前版本的包结构变化很大，用luyten反编译，其他工具打开报错

luyten项目地址:https://github.com/deathmarine/Luyten

打开后找到两个class文件，分别为org.elasticsearch.license.LicenseVerifier ,org.elasticsearch.xpack.core.XPackBuild

将反编译后的java 代码复制到自己的IDE中，按照同样的包名创建pack

我们不需要编译整个项目，只需要编译这两个文件，所以要把依赖添加到classpath中，

依赖也与之前有所变化，之前只需要x-pack 包本身，现在需要引入 elasticsearch 6.2.2 中 lib 目录下的jar包 以及 x-pack-core-6.2.2.jar 本身

修改代码

LicenseVerifier 中有两个静态方法，这就是验证授权文件是否有效的方法，我们把它修改为全部返回true.

package org.elasticsearch.license;

import java.nio.*;

import java.util.*;

import java.security.*;

import org.elasticsearch.common.xcontent.*;

import org.apache.lucene.util.*;

import org.elasticsearch.common.io.*;

import java.io.*;

public class LicenseVerifier

{

    public static boolean verifyLicense(final License license, final byte[] encryptedPublicKeyData) {

        return true;

    }

    public static boolean verifyLicense(final License license) {

        return true;

    }

}

XPackBuild 中 最后一个静态代码块中 try的部分全部删除，这部分会验证jar包是否被修改

package org.elasticsearch.xpack.core;

import org.elasticsearch.common.io.*;

import java.net.*;

import org.elasticsearch.common.*;

import java.nio.file.*;

import java.io.*;

import java.util.jar.*;

public class XPackBuild

{

    public static final XPackBuild CURRENT;

    private String shortHash;

    private String date;

    @SuppressForbidden(reason = "looks up path of xpack.jar directly")

    static Path getElasticsearchCodebase() {

        final URL url = XPackBuild.class.getProtectionDomain().getCodeSource().getLocation();

        try {

            return PathUtils.get(url.toURI());

        }

        catch (URISyntaxException bogus) {

            throw new RuntimeException(bogus);

        }

    }

    XPackBuild(final String shortHash, final String date) {

        this.shortHash = shortHash;

        this.date = date;

    }

    public String shortHash() {

        return this.shortHash;

    }

    public String date() {

        return this.date;

    }

    static {

        final Path path = getElasticsearchCodebase();

        String shortHash = null;

        String date = null;

        Label_0157: {

            shortHash = "Unknown";

            date = "Unknown";

        }

        CURRENT = new XPackBuild(shortHash, date);

    }

}

编译java文件，把class文件替换到原来的x-pack-core-6.2.2.jar中

安装破解的x-pack

将破解好的x-pack-core-6.2.2.jar 替换到已经安装好的 elasticsearch 中 路径为 /opt/elasticsearch-6.2.2/plugins/x-pack/x-pack-core

需要替换集群中所有的x-pack

初次安装需要重置默认的帐号密码

./bin/x-pack/setup-passwords interactive

这样破解的x-pack就安装好了

后续工作
elasticsearch 6.2.2 中默认开启了安全验证，我们暂时修改配置文件以方便导入自己的文件
在elasticsearch.yml 中 添加一下配置

xpack.security.enabled:false

重启集群

导入我们自己填写的license文件

{
  "license": {
    "uid": "aa",
    "type": "platinum",
    "issue_date_in_millis": 1519689600000,
    "expiry_date_in_millis": 2524579200999,
    "max_nodes": 1000,
    "issued_to": "aa",
    "issuer": "Web Form",
    "signature": "AAAAAwAAAA019",
    "start_date_in_millis": 1519689600000
  }
}

我们将过期时间写到2050年，type改为platinum 白金版，这样我们就会拥有全部的x-pack功能

执行命令 导入

curl -XPUT -u elastic 'http://192.168.100.201:9200/_xpack/license' -H "Content-Type: application/json" -d @license.json

执行后会提示导入成功。

因为我们导入的不是试用版的license 所以如果我们要开启安全验证 必须要配置集群内部通讯的TLS/SSL

步奏参考官方文档

https://www.elastic.co/guide/en/elasticsearch/reference/current/configuring-tls.html#tls-transport