クラスターセットアップでの Control Room のインストール中に、製品が提供するデフォルトの証明書の代わりに、信頼できる証明機関 (CA) のカスタム証明書をアップロードすることで、セキュリティを強化できます。

カスタム証明書をアップロードする前に、以下のガイドラインと推奨事項を確認してください。
  • 証明書が適切な有効期間を持っていることを確認し、インストールが失敗しないようにしてください。
  • カスタム証明書ファイルはインストールのために特定の名前を持っている必要があります。以下の命名規則に従ってください。
    ファイル 想定されるファイル命名 想定されるファイル形式
    証明書 (ノード) elasticsearch-cert.pem .
    キー (ノード) elasticsearch-key.pem .
    ルート (CA 証明書) root-ca-cert.pem .
    注:
    • 中間証明書をお持ちの場合は、それを root-ca-cert.pem に名前を変更して、ルート証明書として使用できます。 システムは、この中間証明書をルートとして認識し、それまでの証明書チェーンの検証を行った後に認識します。
    • .zip ファイルには、証明書、キー、およびルート CA 証明書ファイルが含まれている必要があります。
  • .zip ファイル内の証明書が以下のガイドラインに従っていることを確認し、Control Room によって簡単にアクセスおよび処理できるようにしてください。
    • 証明書が暗号化されていないことを確認してください(パスワード保護なし)
    • 必須の3つの証明書ファイルのみを含めてください。
    • フォルダー構造には、.zip ファイル内にサブフォルダーを含めてはいけません。

      例:

      OpenSearch .zip フォルダー構造
  • 証明書には共通名 (CN) が必要です。 CNとしてホスト名を使用することをお勧めします。 クラスター内のノードの数に関係なく、1つの証明書のみが必要です。

カスタム証明書アップロードの一般的なエラーのデバッグ

カスタム証明書の取得が失敗する可能性がある理由は次のとおりです。 詳細情報については、msi ログを temp フォルダーで確認してください。 例: C:\Users\<Username>\AppData\Local\Temp.
エラー コード 考えられる理由 軽減
java.security.cert.CertificateExpiredException 証明書が無効であるエラーです。 証明書が期限切れでないことを確認し、証明書の詳細に不一致がないかをチェックしてください。 問題を修正した後、証明書を再アップロードしてください。
java.Lang.RuntimeException: エラー 必要な証明書が存在しません .zip フォルダー構造が不正であるか、証明書が欠落しています。証明書エラー。 証明書が.zipフォルダーに正しく配置されていることを確認してください。
エラー: java.lang.RuntimeException: Elasticsearchのルート証明書はCAではありません ルートCAがノード証明書と一致しません。 証明書が有効なCA証明書であることを確認してください。 問題を修正して、証明書を再アップロードしてください。