Durante la instalación de la Control Room en una configuración de clúster, puede cargar certificados personalizados con una Autoridad de Certificación (CA) de confianza en lugar de usar el certificado predeterminado proporcionado por el producto a fin de mejorar la seguridad.

Asegúrese de revisar las siguientes pautas y recomendaciones antes de cargar los certificados personalizados:
  • Asegúrese de que los certificados tengan una validez (duración) adecuada para que la instalación no falle.
  • Revise la siguiente nomenclatura para los archivos de certificados personalizados que deben tener nombres específicos para la instalación en Windows:
    Archivo Nomenclatura de archivos esperada Formato esperado del archivo
    Raíz (certificado de la CA) root-ca-cert.pem .pem
    Certificado/Clave (nodos-administrativos/intercomunicación) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Nota:
    • Si tiene un certificado intermedio, puede cambiarle el nombre a root-ca-cert.pem para usarlo como el certificado raíz. Luego, el sistema reconocerá este certificado intermedio como la raíz después de realizar una validación de la cadena de certificados hasta él.
    • El archivo .zip debe contener los archivos del certificado, la clave y el certificado de la CA raíz.
  • Revise las siguientes nomenclaturas para los archivos de certificados personalizados en Linux:
    Archivo Nomenclatura de archivos esperada Formato esperado del archivo
    Raíz (certificado de la CA) root-ca-cert.pem .pem
    Certificado/Clave (nodos-administrativos) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Certificado/Clave (intercomunicación de nodos) elasticsearch-node-cert.pem .pem
    elasticsearch-node-key.pem
    • Aunque elasticsearch-cert.pem es para fines administrativos, recomendamos que utilice el nombre de host del primer nodo.
      Nota:
      • Para Linux, elasticsearch-node-cert.pem se utiliza para garantizar la comunicación entre nodos. Debe incluir los nombres de host del segundo o tercer nodo, lo cual asegura la comunicación cifrada y confiable entre los miembros del clúster.
      • Para Windows, elasticsearch-cert.pem se utiliza tanto para garantizar la comunicación entre nodos como para fines administrativos.
    • Asegúrese de que los siguientes certificados estén firmados por un certificado CA raíz/intermedio:
      • elasticsearch-cert.pem

        Aplicable tanto para Windows como para Linux.

      • elasticsearch-node-cert.pem

        Aplicable solo para Linux.

  • Asegúrese de que los certificados en el archivo .zip sigan las pautas a continuación para que la Control Room pueda acceder a ellos y procesarlos con facilidad.
    • Asegúrese de que los certificados no estén encriptados (sin protección con contraseña)
    • Incluya solo los tres archivos de certificado requeridos
    • La estructura de carpetas no debe contener subcarpetas dentro del archivo .zip.
      • Ejemplo para Windows:

        Estructura de carpetas .zip de OpenSearch

      • Ejemplo para Linux:

        CA de OpenSearch para Linux

  • El certificado debe tener un nombre común (CN). Le recomendamos que utilice el nombre de host como CN.

Depuración de errores comunes al cargar certificados personalizados

La recuperación de certificados personalizados podría fallar debido a las siguientes razones. Para obtener información detallada, revise los registros de msi en la carpeta temp. Ejemplo: C:\Users\<Username>\AppData\Local\Temp.
Código de error Posible motivo Mitigación
java.security.cert.CertificateExpiredException Error de certificado no válido. Asegúrese de que el certificado no haya expirado y verifique que no haya discrepancias en los detalles del certificado. Vuelva a cargar el certificado después de corregir cualquier problema.
java.Lang.RuntimeException: ERROR, el certificado requerido no existe La estructura de la carpeta .zip es incorrecta o falta el certificado (error de certificado). Asegúrese de que los certificados se encuentre en la carpeta .zip correcta.
ERROR: java.lang.RuntimeException: El certificado raíz de Elasticsearch no es una CA La autoridad de certificación raíz no coincide con el certificado del nodo. Verifique que el certificado sea un certificado de una CA válida. Corrija cualquier problema y vuelva a cargar el certificado.