Lors de l\'installation du Control Room dans une configuration de cluster, vous pouvez télécharger des certificats personnalisés avec une Autorité de Certification (CA) de confiance au lieu d\'utiliser le certificat par défaut fourni par le produit pour une sécurité renforcée.

Assurez-vous de passer en revue les directives et recommandations suivantes avant de télécharger des certificats personnalisés :
  • Assurez-vous que les certificats ont une durée de validité appropriée afin que l\'installation ne échoue pas.
  • Les fichiers de certificat personnalisés doivent avoir des noms spécifiques pour l\'installation, suivez la convention de nommage ci-dessous :
    Fichier Nom de fichier attendu Format attendu du fichier
    Certificat (nœuds) elasticsearch-cert.pem .pem
    Clé (nœuds) elasticsearch-key.pem .pem
    Racine (certificat CA) root-ca-cert.pem .pem
    Remarque :
    • Si vous avez un certificat intermédiaire, vous pouvez le renommer en root-ca-cert.pem pour l\'utiliser comme certificat racine. Le système reconnaîtra alors ce certificat intermédiaire comme la racine après avoir effectué une validation de la chaîne de certificats jusqu\'à celui-ci.
    • Le fichier .zip doit contenir les Fichiers de certificat, de clé et de certificat CA racine.
  • Assurez-vous que les certificats dans le fichier .zip respectent les directives ci-dessous afin qu\'ils puissent être facilement accessibles et traités par le Control Room.
    • Assurez-vous que les certificats ne sont pas chiffrés (pas de protection par mot de passe)
    • Incluez uniquement les trois Fichiers de certificat requis
    • La structure du dossier ne doit pas contenir de sous-dossiers à l\'intérieur du fichier .zip.

      Exemple :

      Structure des dossiers .zip d\'OpenSearch
  • Le certificat doit avoir un nom commun (CN). Nous vous recommandons d\'utiliser le nom d\'hôte comme CN. Un seul certificat est requis, quel que soit le nombre de nœuds dans le cluster.

Débogage des erreurs courantes de téléchargement de certificats personnalisés

L\'extraction de certificat personnalisé peut échouer pour les raisons suivantes. Pour des informations détaillées, consultez les journaux msi dans le dossier temp. Exemple : C:\Users\<Username>\AppData\Local\Temp.
Code d\'erreur Raison possible Atténuation
java.security.cert.CertificateExpiredException Erreur de certificat invalide. Assurez-vous que le certificat n\'a pas expiré et vérifiez qu\'il n\'y a pas de divergences dans les détails du certificat. Téléchargez à nouveau le certificat après avoir corrigé les problèmes.
java.Lang.RuntimeException : ERREUR le certificat requis n\'existe pas La structure du dossier .zip est incorrecte ou le certificat est manquant, erreur de certificat. Assurez-vous que les certificats sont correctement placés dans le dossier .zip.
ERREUR : java.lang.RuntimeException : Le certificat racine d\'Elasticsearch n\'est pas une autorité de certification (CA). La CA racine ne correspond pas au certificat du nœud. Vérifiez que le certificat est un certificat d\'autorité (CA) valide. Corrigez les éventuels problèmes et téléchargez à nouveau le certificat.