Durante la instalación de la Control Room en una configuración de clúster, puede cargar certificados personalizados con una Autoridad de Certificación (CA) de confianza en lugar de usar el certificado predeterminado proporcionado por el producto a fin de mejorar la seguridad.

Asegúrese de revisar las siguientes pautas y recomendaciones antes de cargar los certificados personalizados:
  • Asegúrese de que los certificados tengan una validez (duración) adecuada para que la instalación no falle.
  • Revise las siguientes nomenclaturas para los archivos de certificados personalizados en Windows y Linux:
    Archivo Nomenclatura de archivos esperada Formato esperado del archivo
    Raíz (certificado de la CA) root-ca-cert.pem .pem
    Certificado/Clave (nodos-administrativos) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Certificado/Clave (intercomunicación de nodos) elasticsearch-node-cert.pem .pem
    elasticsearch-node-key.pem
    • elasticsearch-cert.pem es para fines administrativos; recomendamos que utilice el nombre de host del primer nodo.

      elasticsearch-node-cert.pem se utiliza para proteger la comunicación entre nodos. Debe incluir los nombres de host del segundo o tercer nodo, lo cual asegura la comunicación cifrada y confiable entre los miembros del clúster.

      Nota:
      • Si tiene un certificado intermedio, puede cambiarle el nombre a root-ca-cert.pem para usarlo como el certificado raíz. Luego, el sistema reconocerá este certificado intermedio como la raíz después de realizar una validación de la cadena de certificados hasta él.
      • El archivo .zip debe contener los archivos del certificado, la clave y el certificado de la CA raíz.
    • Asegúrese de que los siguientes certificados (aplicable para Windows y Linux) estén firmados por un certificado CA raíz o intermedio:
      • elasticsearch-cert.pem
      • elasticsearch-node-cert.pem
        Nota:
        • Se deben generar dos certificados únicos firmados por CA:
          • Uno para el administrador de nodos.
          • Otro para la intercomunicación de nodos.
        • Ambos certificados deben tener un nombre común único. No se puede usar el mismo nombre común para estos certificados.
        • Los certificados TLS de la capa de transporte se deben configurar como cliente (Autenticación de cliente web TLS) y como servidor (Autenticación de servidor web TLS) en la sección Uso extendido de la clave del certificado, ya que los nodos que utilizan estos certificados TLS asumen la responsabilidad de atender y recibir solicitudes de comunicación internamente. Los certificados deben tener uso extendido de la clave con la autenticación tanto de servidor como de cliente. Por ejemplo, al generar los certificados, debe incluir extendedKeyUsage = serverAuth, clientAuth usando un archivo de configuración.
  • Asegúrese de que los certificados en el archivo .zip sigan las pautas a continuación para que la Control Room pueda acceder a ellos y procesarlos con facilidad.
    • Asegúrese de que los certificados no estén encriptados (sin protección con contraseña)
    • Incluya solo los cinco archivos de certificado requeridos.
    • La estructura de carpetas no debe contener subcarpetas dentro del archivo .zip.

      Por ejemplo: CA de OpenSearch para Linux

  • El certificado debe tener un nombre común (CN). Le recomendamos que utilice el nombre de host como CN.

Depuración de errores comunes al cargar certificados personalizados

La recuperación de certificados personalizados podría fallar debido a las siguientes razones. Para obtener información detallada, revise los registros de msi en la carpeta temp. Ejemplo: C:\Users\<Username>\AppData\Local\Temp.
Código de error Posible motivo Mitigación
java.security.cert.CertificateExpiredException Error de certificado no válido. Asegúrese de que el certificado no haya expirado y verifique que no haya discrepancias en los detalles del certificado. Vuelva a cargar el certificado después de corregir cualquier problema.
java.Lang.RuntimeException: ERROR, el certificado requerido no existe La estructura de la carpeta .zip es incorrecta o falta el certificado (error de certificado). Asegúrese de que los certificados se encuentre en la carpeta .zip correcta.
ERROR: java.lang.RuntimeException: El certificado raíz de Elasticsearch no es una CA La autoridad de certificación raíz no coincide con el certificado del nodo. Verifique que el certificado sea un certificado de una CA válida. Corrija cualquier problema y vuelva a cargar el certificado.