Durante la instalación de la Control Room en una configuración de clúster, puede cargar certificados personalizados con una Autoridad de Certificación (CA) de confianza en lugar de usar el certificado predeterminado proporcionado por el producto a fin de mejorar la seguridad.

Asegúrese de revisar las siguientes pautas y recomendaciones antes de cargar los certificados personalizados:
  • Asegúrese de que los certificados tengan una validez (duración) adecuada para que la instalación no falle.
  • Los archivos de certificados personalizados deben tener nombres específicos para la instalación, siga la convención de nombres a continuación:
    Archivo Nomenclatura de archivos esperada Formato esperado del archivo
    Certificado (nodos) elasticsearch-cert.pem .pem
    Clave (nodos) elasticsearch-clave.pem .pem
    Raíz (certificado de la CA) root-ca-cert.pem .pem
    Nota:
    • Si tiene un certificado intermedio, puede cambiarle el nombre a root-ca-cert.pem para usarlo como el certificado raíz. Luego, el sistema reconocerá este certificado intermedio como la raíz después de realizar una validación de la cadena de certificados hasta él.
    • El archivo .zip debe contener los archivos del certificado, la clave y el certificado de la CA raíz.
  • Asegúrese de que los certificados en el archivo .zip sigan las pautas a continuación para que la Control Room pueda acceder a ellos y procesarlos con facilidad.
    • Asegúrese de que los certificados no estén encriptados (sin protección con contraseña)
    • Incluya solo los tres archivos de certificado requeridos
    • La estructura de carpetas no debe contener subcarpetas dentro del archivo .zip.

      Ejemplo:

      Estructura de carpetas .zip de OpenSearch
  • El certificado debe tener un nombre común (CN). Le recomendamos que utilice el nombre de host como CN. Solo se requiere un certificado sin importar la cantidad de nodos en el clúster.

Depuración de errores comunes al cargar certificados personalizados

La recuperación de certificados personalizados podría fallar debido a las siguientes razones. Para obtener información detallada, revise los registros de msi en la carpeta temp. Ejemplo: C:\Users\<Username>\AppData\Local\Temp.
Código de error Posible motivo Mitigación
java.security.cert.CertificateExpiredException Error de certificado no válido. Asegúrese de que el certificado no haya expirado y verifique que no haya discrepancias en los detalles del certificado. Vuelva a cargar el certificado después de corregir cualquier problema.
java.Lang.RuntimeException: ERROR, el certificado requerido no existe La estructura de la carpeta .zip es incorrecta o falta el certificado (error de certificado). Asegúrese de que los certificados se encuentre en la carpeta .zip correcta.
ERROR: java.lang.RuntimeException: El certificado raíz de Elasticsearch no es una CA La autoridad de certificación raíz no coincide con el certificado del nodo. Verifique que el certificado sea un certificado de una CA válida. Corrija cualquier problema y vuelva a cargar el certificado.