Lors de l\'installation du Control Room dans une configuration de cluster, vous pouvez télécharger des certificats personnalisés avec une Autorité de Certification (CA) de confiance au lieu d\'utiliser le certificat par défaut fourni par le produit pour une sécurité renforcée.

Assurez-vous de passer en revue les directives et recommandations suivantes avant de télécharger des certificats personnalisés :
  • Assurez-vous que les certificats ont une durée de validité appropriée afin que l\'installation ne échoue pas.
  • Examinez les conventions de dénomination suivantes pour les fichiers de certificat personnalisés sous Windows et Linux :
    Fichier Nom de fichier attendu Format attendu du fichier
    Racine (certificat CA) root-ca-cert.pem .pem
    Certificat/Clé (nodes-administrative) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Certificat/Clé (nodes-intercommunication) elasticsearch-node-cert.pem .pem
    elasticsearch-node-key.pem
    • Le elasticsearch-cert.pem est destiné à des fins administratives ; nous vous recommandons d\'utiliser le nom d\'hôte firstnode.

      Le elasticsearch-node-cert.pem est utilisé pour sécuriser la communication entre les nœuds. Il doit inclure les noms d\'hôte du deuxième ou du troisième nœud, garantissant une communication chiffrée et fiable entre les membres du cluster.

      Remarque :
      • Si vous avez un certificat intermédiaire, vous pouvez le renommer en root-ca-cert.pem pour l\'utiliser comme certificat racine. Le système reconnaîtra alors ce certificat intermédiaire comme la racine après avoir effectué une validation de la chaîne de certificats jusqu\'à celui-ci.
      • Le fichier .zip doit contenir les Fichiers de certificat, de clé et de certificat CA racine.
    • Assurez-vous que les certificats suivants (applicables pour Windows et Linux) sont signés par le certificat d\'autorité de certification racine/intermédiaire :
      • elasticsearch-cert.pem
      • elasticsearch-node-cert.pem
        Remarque :
        • Deux certificats uniques signés par une autorité de certification doivent être générés :
          • Un pour l\'administrateur de nœud.
          • Un pour l\'intercommunication des nœuds
        • Les deux certificats doivent avoir un nom commun unique. Le même nom commun ne peut pas être utilisé pour ces certificats.
        • Les certificats TLS de la couche de transport doivent être configurés à la fois en tant que client (TLS Web Client Authentication) et serveur (TLS Web Server Authentication) dans la section Usage étendu de clé du certificat, car les nœuds utilisant les certificats TLS ont la responsabilité d\'assurer l\'émission et la réception des requêtes de communication en interne. Les certificats doivent inclure l\'usage étendu de clé pour l\'authentification du serveur et du client. Par exemple, lors de la génération des certificats, il est impératif d\'inclure extendedKeyUsage = serverAuth, clientAuth en utilisant un fichier de configuration.
  • Assurez-vous que les certificats dans le fichier .zip respectent les directives ci-dessous afin qu\'ils puissent être facilement accessibles et traités par le Control Room.
    • Assurez-vous que les certificats ne sont pas chiffrés (pas de protection par mot de passe)
    • Incluez uniquement les cinq fichiers de certificat requis
    • La structure du dossier ne doit pas contenir de sous-dossiers à l\'intérieur du fichier .zip.

      Par exemple : Autorité de certification OpenSearch pour Linux

  • Le certificat doit avoir un nom commun (CN). Nous vous recommandons d\'utiliser le nom d\'hôte comme CN.

Débogage des erreurs courantes de téléchargement de certificats personnalisés

L\'extraction de certificat personnalisé peut échouer pour les raisons suivantes. Pour des informations détaillées, consultez les journaux msi dans le dossier temp. Exemple : C:\Users\<Username>\AppData\Local\Temp.
Code d\'erreur Raison possible Atténuation
java.security.cert.CertificateExpiredException Erreur de certificat invalide. Assurez-vous que le certificat n\'a pas expiré et vérifiez qu\'il n\'y a pas de divergences dans les détails du certificat. Téléchargez à nouveau le certificat après avoir corrigé les problèmes.
java.Lang.RuntimeException : ERREUR le certificat requis n\'existe pas La structure du dossier .zip est incorrecte ou le certificat est manquant, erreur de certificat. Assurez-vous que les certificats sont correctement placés dans le dossier .zip.
ERREUR : java.lang.RuntimeException : Le certificat racine d\'Elasticsearch n\'est pas une autorité de certification (CA). La CA racine ne correspond pas au certificat du nœud. Vérifiez que le certificat est un certificat d\'autorité (CA) valide. Corrigez les éventuels problèmes et téléchargez à nouveau le certificat.