Lors de l\'installation du Control Room dans une configuration de cluster, vous pouvez télécharger des certificats personnalisés avec une Autorité de Certification (CA) de confiance au lieu d\'utiliser le certificat par défaut fourni par le produit pour une sécurité renforcée.

Assurez-vous de passer en revue les directives et recommandations suivantes avant de télécharger des certificats personnalisés :
  • Assurez-vous que les certificats ont une durée de validité appropriée afin que l\'installation ne échoue pas.
  • Examinez les conventions de dénomination suivantes pour les fichiers de certificat personnalisés sous Linux :
    Fichier Nom de fichier attendu Format attendu du fichier
    Racine (certificat CA) root-ca-cert.pem .pem
    Certificat/Clé (nodes-administrative) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Certificat/Clé (nodes-intercommunication) elasticsearch-node-cert.pem .pem
    elasticsearch-node-key.pem
    • Le elasticsearch-cert.pem est destiné à des fins administratives ; nous vous recommandons d\'utiliser le nom d\'hôte firstnode.
      Remarque :
      • Si vous avez un certificat intermédiaire, vous pouvez le renommer en root-ca-cert.pem pour l\'utiliser comme certificat racine. Le système reconnaîtra alors ce certificat intermédiaire comme la racine après avoir effectué une validation de la chaîne de certificats jusqu\'à celui-ci.
      • Le fichier .zip doit contenir les Fichiers de certificat, de clé et de certificat CA racine.
      • Le elasticsearch-node-cert.pem est utilisé pour sécuriser la communication entre les nœuds. Il doit inclure les noms d\'hôte du deuxième ou du troisième nœud, garantissant une communication chiffrée et fiable entre les membres du cluster.
      • Assurez-vous que les certificats suivants sont signés par le certificat d\'autorité de certification racine/intermédiaire :
        • elasticsearch-cert.pem
        • elasticsearch-node-cert.pem
    • Assurez-vous que les certificats suivants sont signés par le certificat d\'autorité de certification racine/intermédiaire :
      • elasticsearch-cert.pem

        Applicable à la fois pour Windows et Linux.

      • elasticsearch-node-cert.pem

        Applicable uniquement pour Linux.

  • Assurez-vous que les certificats dans le fichier .zip respectent les directives ci-dessous afin qu\'ils puissent être facilement accessibles et traités par le Control Room.
    • Assurez-vous que les certificats ne sont pas chiffrés (pas de protection par mot de passe)
    • Incluez uniquement les cinq fichiers de certificat requis
    • La structure du dossier ne doit pas contenir de sous-dossiers à l\'intérieur du fichier .zip.

      Par exemple : Autorité de certification OpenSearch pour Linux

  • Le certificat doit avoir un nom commun (CN). Nous vous recommandons d\'utiliser le nom d\'hôte comme CN.

Débogage des erreurs courantes de téléchargement de certificats personnalisés

L\'extraction de certificat personnalisé peut échouer pour les raisons suivantes. Pour des informations détaillées, consultez les journaux msi dans le dossier temp. Exemple : C:\Users\<Username>\AppData\Local\Temp.
Code d\'erreur Raison possible Atténuation
java.security.cert.CertificateExpiredException Erreur de certificat invalide. Assurez-vous que le certificat n\'a pas expiré et vérifiez qu\'il n\'y a pas de divergences dans les détails du certificat. Téléchargez à nouveau le certificat après avoir corrigé les problèmes.
java.Lang.RuntimeException : ERREUR le certificat requis n\'existe pas La structure du dossier .zip est incorrecte ou le certificat est manquant, erreur de certificat. Assurez-vous que les certificats sont correctement placés dans le dossier .zip.
ERREUR : java.lang.RuntimeException : Le certificat racine d\'Elasticsearch n\'est pas une autorité de certification (CA). La CA racine ne correspond pas au certificat du nœud. Vérifiez que le certificat est un certificat d\'autorité (CA) valide. Corrigez les éventuels problèmes et téléchargez à nouveau le certificat.