Während der Installation des Control Rooms in einer Cluster-Konfiguration können Sie benutzerdefinierte Zertifikate mit einer vertrauenswürdigen Zertifizierungsstelle (CA) hochladen, anstatt das standardmäßige Zertifikat des Produkts zu verwenden, um die Sicherheit zu erhöhen.

Berücksichtigen Sie die folgenden Richtlinien und Empfehlungen, bevor Sie benutzerdefinierte Zertifikate hochladen:
  • Die Zertifikate müssen eine angemessene Gültigkeit (Dauer) haben, damit die Installation nicht fehlschlägt.
  • Überprüfen Sie die folgenden Benennungskonventionen für die benutzerdefinierten Zertifikat-Dateien in Windows und Linux:
    Datei Erwartete Dateibenennung Erwartetes Dateiformat
    Root (CA-Zertifikat) root-ca-cert.pem .pem
    Zertifikat/Schlüssel (nodes-administrative) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Zertifikat/Schlüssel (nodes-intercommunication) elasticsearch-node-cert.pem .pem
    elasticsearch-node-key.pem
    • elasticsearch-cert.pem ist für administrative Zwecke vorgesehen. Wir empfehlen, stattdessen firstnode hostname zu verwenden.

      elasticsearch-node-cert.pem wird verwendet, um die Kommunikation zwischen den Knoten abzusichern. Es muss die Hostnamen des zweiten oder dritten Knotens enthalten, um eine verschlüsselte und vertrauenswürdige Kommunikation zwischen den Cluster-Mitgliedern zu gewährleisten.

      Anmerkung:
      • Wenn Sie ein Zwischenzertifikat haben, können Sie es in root-ca-cert.pem umbenennen, um es als Root-Zertifikat zu verwenden. Das System wird dieses Zwischenzertifikat dann als Root-Zertifikat anerkennen, nachdem eine Zertifikatskettenvalidierung bis zu diesem Punkt durchgeführt wurde.
      • Die .zip-Datei muss die Zertifikats-, Schlüssel- und Root-CA-Zertifikatsdateien enthalten.
    • Bitte achten Sie darauf, dass die folgenden Zertifikate (gültig für Windows und Linux) durch das Root- bzw. Zwischen-CA-Zertifikat signiert sind:
      • elasticsearch-cert.pem
      • elasticsearch-node-cert.pem
        Anmerkung:
        • Zwei eindeutige, von der CA signierte Zertifikate müssen generiert werden:
          • Einer für den Node-Administrator.
          • Einer für die Kommunikation zwischen Knoten
        • Beide Zertifikate müssen einen eindeutigen allgemeinen Namen (common name, CN) besitzen. Derselbe Common Name kann für diese Zertifikate nicht verwendet werden.
        • Transport-Layer-TLS-Zertifikate müssen sowohl als Client (TLS-Webclient-Authentifizierung) als auch als Server (TLS-Webserver-Authentifizierung) im Abschnitt Erweiterte Schlüsselverwendung des Zertifikats konfiguriert werden, da die Knoten, die die TLS-Zertifikate verwenden, die Verantwortung für das interne Senden und Empfangen von Kommunikationsanfragen übernehmen. Die Zertifikate sollten eine erweiterte Schlüsselverwendung mit sowohl Server- als auch Client-Authentifizierung haben. Zum Beispiel muss beim Erstellen der Zertifikate extendedKeyUsage = serverAuth, clientAuth mit einer Konfigurationsdatei enthalten sein.
  • Achten Sie darauf, dass die Zertifikate in der .zip-Datei den untenstehenden Richtlinien entsprechen, damit sie vom Control Room leicht abgerufen und verarbeitet werden können.
    • Achten Sie darauf, dass Zertifikate nicht verschlüsselt sind (kein Passwortschutz)
    • Beziehen Sie nur die fünf erforderlichen Zertifikatdateien ein
    • Die Ordnerstruktur sollte keine Unterordner innerhalb der ZIP-Datei enthalten.

      Beispiel: OpenSearch-CA für Linux

  • Das Zertifikat muss einen allgemeinen Namen (common name, CN) haben. Wir empfehlen, den Hostnamen als CN zu verwenden.

Fehlerbehebung bei häufigen Fehlern beim Hochladen benutzerdefinierter Zertifikate

Der Abruf eines benutzerdefinierten Zertifikats kann aus folgenden Gründen fehlschlagen. Für detaillierte Informationen überprüfen Sie die msi-Protokolle im temp-Ordner. Beispiel: C:\Users\<Username>\AppData\Local\Temp.
Fehlercode Möglicher Grund Abwehr
java.security.cert.CertificateExpiredException Zertifikat ist ungültig. Vergewissern Sie sich, dass das Zertifikat nicht abgelaufen ist, und überprüfen Sie, ob die Zertifikatsdetails übereinstimmen. Laden Sie das Zertifikat nach der Behebung aller Probleme erneut hoch.
java.Lang.RuntimeException: ERROR required certificate does not exist Der ZIP-Ordneraufbau ist falsch oder das Zertifikat fehlt, was zu einem Zertifikatsfehler führt. Überprüfen Sie, ob die Zertifikate korrekt im ZIP-Ordner abgelegt sind.
ERROR: java.lang.RuntimeException: Elasticsearch root certificate is not a CA Die Root-CA stimmt nicht mit dem Knotenzertifikat überein. Überprüfen Sie, ob das Zertifikat ein gültiges CA-Zertifikat ist. Korrigieren Sie eventuelle Probleme und laden Sie das Zertifikat erneut hoch.