Während der Installation des Control Rooms in einer Cluster-Konfiguration können Sie benutzerdefinierte Zertifikate mit einer vertrauenswürdigen Zertifizierungsstelle (CA) hochladen, anstatt das standardmäßige Zertifikat des Produkts zu verwenden, um die Sicherheit zu erhöhen.

Berücksichtigen Sie die folgenden Richtlinien und Empfehlungen, bevor Sie benutzerdefinierte Zertifikate hochladen:
  • Die Zertifikate müssen eine angemessene Gültigkeit (Dauer) haben, damit die Installation nicht fehlschlägt.
  • Überprüfen Sie die folgende Benennungskonvention für die benutzerdefinierten Zertifikat-Dateien, die für die Installation unter Windows bestimmte Namen haben müssen:
    Datei Erwartete Dateibenennung Erwartetes Dateiformat
    Root (CA-Zertifikat) root-ca-cert.pem .pem
    Zertifikat/Schlüssel (nodes-administrative/intercommunication) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Anmerkung:
    • Wenn Sie ein Zwischenzertifikat haben, können Sie es in root-ca-cert.pem umbenennen, um es als Root-Zertifikat zu verwenden. Das System wird dieses Zwischenzertifikat dann als Root-Zertifikat anerkennen, nachdem eine Zertifikatskettenvalidierung bis zu diesem Punkt durchgeführt wurde.
    • Die .zip-Datei muss die Zertifikats-, Schlüssel- und Root-CA-Zertifikatsdateien enthalten.
  • Überprüfen Sie die folgenden Benennungskonvention für die benutzerdefinierten Zertifikat-Dateien in Linux:
    Datei Erwartete Dateibenennung Erwartetes Dateiformat
    Root (CA-Zertifikat) root-ca-cert.pem .pem
    Zertifikat/Schlüssel (nodes-administrative) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Zertifikat/Schlüssel (nodes-intercommunication) elasticsearch-node-cert.pem .pem
    elasticsearch-node-key.pem
    • Obwohl elasticsearch-cert.pem für administrative Zwecke gedacht ist, empfehlen wir, dass Sie den firstnode hostname verwenden.
      Anmerkung:
      • Für Linux wird das elasticsearch-node-cert.pem verwendet, um die Kommunikation zwischen den Knoten zu sichern. Es muss die Hostnamen des zweiten oder dritten Knotens enthalten, um eine verschlüsselte und vertrauenswürdige Kommunikation zwischen den Cluster-Mitgliedern zu gewährleisten.
      • Für Windows wird elasticsearch-cert.pem sowohl zur Sicherung der Kommunikation zwischen den Knoten als auch für administrative Zwecke verwendet.
    • Bitte achten Sie darauf, dass die folgenden Zertifikate mit dem Root-/Zwischen-CA-Zertifikat signiert sind:
      • elasticsearch-cert.pem

        Anwendbar für sowohl Windows als auch Linux.

      • elasticsearch-node-cert.pem

        Gilt nur für Linux.

  • Achten Sie darauf, dass die Zertifikate in der .zip-Datei den untenstehenden Richtlinien entsprechen, damit sie vom Control Room leicht abgerufen und verarbeitet werden können.
    • Achten Sie darauf, dass Zertifikate nicht verschlüsselt sind (kein Passwortschutz)
    • Beziehen Sie nur die drei erforderlichen Zertifikatdateien ein
    • Die Ordnerstruktur sollte keine Unterordner innerhalb der ZIP-Datei enthalten.
      • Beispiel für Windows:

        OpenSearch ZIP-Ordnerstruktur

      • Beispiel für Linux:

        OpenSearch-CA für Linux

  • Das Zertifikat muss einen allgemeinen Namen (common name, CN) haben. Wir empfehlen, den Hostnamen als CN zu verwenden.

Fehlerbehebung bei häufigen Fehlern beim Hochladen benutzerdefinierter Zertifikate

Der Abruf eines benutzerdefinierten Zertifikats kann aus folgenden Gründen fehlschlagen. Für detaillierte Informationen überprüfen Sie die msi-Protokolle im temp-Ordner. Beispiel: C:\Users\<Username>\AppData\Local\Temp.
Fehlercode Möglicher Grund Minderung
java.security.cert.CertificateExpiredException Zertifikat ist ungültig. Vergewissern Sie sich, dass das Zertifikat nicht abgelaufen ist, und überprüfen Sie, ob die Zertifikatsdetails übereinstimmen. Laden Sie das Zertifikat nach der Behebung aller Probleme erneut hoch.
java.Lang.RuntimeException: ERROR required certificate does not exist Der ZIP-Ordneraufbau ist falsch oder das Zertifikat fehlt, was zu einem Zertifikatsfehler führt. Überprüfen Sie, ob die Zertifikate korrekt im ZIP-Ordner abgelegt sind.
ERROR: java.lang.RuntimeException: Elasticsearch root certificate is not a CA Die Root-CA stimmt nicht mit dem Knotenzertifikat überein. Überprüfen Sie, ob das Zertifikat ein gültiges CA-Zertifikat ist. Korrigieren Sie eventuelle Probleme und laden Sie das Zertifikat erneut hoch.