Während der Installation des Control Rooms in einer Cluster-Konfiguration können Sie benutzerdefinierte Zertifikate mit einer vertrauenswürdigen Zertifizierungsstelle (CA) hochladen, anstatt das standardmäßige Zertifikat des Produkts zu verwenden, um die Sicherheit zu erhöhen.

Berücksichtigen Sie die folgenden Richtlinien und Empfehlungen, bevor Sie benutzerdefinierte Zertifikate hochladen:
  • Die Zertifikate müssen eine angemessene Gültigkeit (Dauer) haben, damit die Installation nicht fehlschlägt.
  • Die benutzerdefinierten Zertifikatdateien müssen für die Installation bestimmte Namen haben. Befolgen Sie die folgende Namenskonvention:
    Datei Erwartete Dateibenennung Erwartetes Dateiformat
    Zertifikat (nodes) elasticsearch-cert.pem .pem
    Schlüssel (Knoten) elasticsearch-key.pem .pem
    Root (CA-Zertifikat) root-ca-cert.pem .pem
    Anmerkung:
    • Wenn Sie ein Zwischenzertifikat haben, können Sie es in root-ca-cert.pem umbenennen, um es als Root-Zertifikat zu verwenden. Das System wird dieses Zwischenzertifikat dann als Root-Zertifikat anerkennen, nachdem eine Zertifikatskettenvalidierung bis zu diesem Punkt durchgeführt wurde.
    • Die .zip-Datei muss die Zertifikats-, Schlüssel- und Root-CA-Zertifikatsdateien enthalten.
  • Achten Sie darauf, dass die Zertifikate in der .zip-Datei den untenstehenden Richtlinien entsprechen, damit sie vom Control Room leicht abgerufen und verarbeitet werden können.
    • Achten Sie darauf, dass Zertifikate nicht verschlüsselt sind (kein Passwortschutz)
    • Beziehen Sie nur die drei erforderlichen Zertifikatdateien ein
    • Die Ordnerstruktur sollte keine Unterordner innerhalb der ZIP-Datei enthalten.

      Beispiel:

      OpenSearch ZIP-Ordnerstruktur
  • Das Zertifikat muss einen allgemeinen Namen (common name, CN) haben. Wir empfehlen, den Hostnamen als CN zu verwenden. Nur ein Zertifikat ist erforderlich, unabhängig von der Anzahl der Knoten im Cluster.

Fehlerbehebung bei häufigen Fehlern beim Hochladen benutzerdefinierter Zertifikate

Der Abruf eines benutzerdefinierten Zertifikats kann aus folgenden Gründen fehlschlagen. Für detaillierte Informationen überprüfen Sie die msi-Protokolle im temp-Ordner. Beispiel: C:\Users\<Username>\AppData\Local\Temp.
Fehlercode Möglicher Grund Minderung
java.security.cert.CertificateExpiredException Zertifikat ist ungültig. Vergewissern Sie sich, dass das Zertifikat nicht abgelaufen ist, und überprüfen Sie, ob die Zertifikatsdetails übereinstimmen. Laden Sie das Zertifikat nach der Behebung aller Probleme erneut hoch.
java.Lang.RuntimeException: ERROR required certificate does not exist Der ZIP-Ordneraufbau ist falsch oder das Zertifikat fehlt, was zu einem Zertifikatsfehler führt. Überprüfen Sie, ob die Zertifikate korrekt im ZIP-Ordner abgelegt sind.
ERROR: java.lang.RuntimeException: Elasticsearch root certificate is not a CA Die Root-CA stimmt nicht mit dem Knotenzertifikat überein. Überprüfen Sie, ob das Zertifikat ein gültiges CA-Zertifikat ist. Korrigieren Sie eventuelle Probleme und laden Sie das Zertifikat erneut hoch.