クラスターセットアップでの Control Room のインストール中に、製品が提供するデフォルトの証明書の代わりに、信頼できる証明機関 (CA) のカスタム証明書をアップロードすることで、セキュリティを強化できます。

カスタム証明書をアップロードする前に、以下のガイドラインと推奨事項を確認してください。
  • 証明書が適切な有効期間を持っていることを確認し、インストールが失敗しないようにしてください。
  • Windows および Linux におけるカスタム証明書ファイルの命名規則を以下のとおり確認してください。
    ファイル 想定されるファイル命名 想定されるファイル形式
    ルート (CA 証明書) root-ca-cert.pem .
    証明書/キー (ノード-管理) elasticsearch-cert.pem .
    elasticsearch-key.pem
    証明書/キー(ノード間通信) elasticsearch-node-cert.pem .
    elasticsearch-node-key.pem
    • elasticsearch-cert.pem は管理用途向けです。firstnode hostname の使用を推奨します。

      elasticsearch-node-cert.pemはノード間通信のセキュリティ確保に使用されます。 第二または第三のノードのホスト名を含める必要があり、クラスタメンバー間の暗号化された信頼できる通信を確保します。

      注:
      • 中間証明書をお持ちの場合は、それを root-ca-cert.pem に名前を変更して、ルート証明書として使用できます。 システムは、この中間証明書をルートとして認識し、それまでの証明書チェーンの検証を行った後に認識します。
      • .zip ファイルには、証明書、キー、およびルート CA 証明書ファイルが含まれている必要があります。
    • 以下の証明書(Windows および Linux に適用)がルートまたは中間 CA 証明書によって署名されていることを確認してください:
      • elasticsearch-cert.pem
      • elasticsearch-node-cert.pem
        注:
        • 2つのユニークな CA 署名証明書を生成する必要があります:
          • ノード管理者用の1つ。
          • ノード間通信のための一つ
        • 両方の証明書には、それぞれ異なる共通名が必要です。 これらの証明書には同じ共通名を使用することはできません。
        • トランスポート層のTLS証明書は、証明書の拡張キー使用法セクションでクライアント(TLS Web クライアント認証)とサーバー(TLS Web サーバー認証)の両方として構成する必要があります。これは、TLS 証明書を使用するノードが内部で通信要求の提供と受信の責任を負うためです。 証明書には、サーバーおよびクライアント認証の両方に対する拡張キー使用が必要です。 例えば、証明書を生成する際には、設定ファイルを使用して extendedKeyUsage = serverAuth, clientAuth を含める必要があります。
  • .zip ファイル内の証明書が以下のガイドラインに従っていることを確認し、Control Room によって簡単にアクセスおよび処理できるようにしてください。
    • 証明書が暗号化されていないことを確認してください(パスワード保護なし)
    • 必須の5つの証明書ファイルのみを含めてください。
    • フォルダー構造には、.zip ファイル内にサブフォルダーを含めてはいけません。

      例えば: Linux 用 OpenSearch CA

  • 証明書には共通名 (CN) が必要です。 CNとしてホスト名を使用することをお勧めします。

カスタム証明書アップロードの一般的なエラーのデバッグ

カスタム証明書の取得が失敗する可能性がある理由は次のとおりです。 詳細情報については、msi ログを temp フォルダーで確認してください。 例: Sample.png C:\Users\<Username>\AppData\Local\Temp.
エラー コード 考えられる理由 軽減
java.security.cert.CertificateExpiredException 証明書が無効であるエラーです。 証明書が期限切れでないことを確認し、証明書の詳細に不一致がないかをチェックしてください。 問題を修正した後、証明書を再アップロードしてください。
java.Lang.RuntimeException: エラー 必要な証明書が存在しません .zip フォルダー構造が不正であるか、証明書が欠落しています。証明書エラー。 証明書が.zipフォルダーに正しく配置されていることを確認してください。
エラー: java.lang.RuntimeException: Elasticsearchのルート証明書はCAではありません ルートCAがノード証明書と一致しません。 証明書が有効なCA証明書であることを確認してください。 問題を修正して、証明書を再アップロードしてください。