OpenSearch カスタム証明書
- 最終更新日2025/11/18
クラスターセットアップでの Control Room のインストール中に、製品が提供するデフォルトの証明書の代わりに、信頼できる証明機関 (CA) のカスタム証明書をアップロードすることで、セキュリティを強化できます。
カスタム証明書をアップロードする前に、以下のガイドラインと推奨事項を確認してください。
- 証明書が適切な有効期間を持っていることを確認し、インストールが失敗しないようにしてください。
- Linux でカスタム証明書ファイルの命名規則を次のとおり確認してください。
ファイル 想定されるファイル命名 想定されるファイル形式 ルート (CA 証明書) root-ca-cert.pem . 証明書/キー (ノード-管理) elasticsearch-cert.pem . elasticsearch-key.pem 証明書/キー(ノード間通信) elasticsearch-node-cert.pem . elasticsearch-node-key.pem -
elasticsearch-cert.pem は管理用途向けです。firstnode hostname の使用を推奨します。注:
- 中間証明書をお持ちの場合は、それを root-ca-cert.pem に名前を変更して、ルート証明書として使用できます。 システムは、この中間証明書をルートとして認識し、それまでの証明書チェーンの検証を行った後に認識します。
- .zip ファイルには、証明書、キー、およびルート CA 証明書ファイルが含まれている必要があります。
- elasticsearch-node-cert.pemはノード間通信のセキュリティ確保に使用されます。 第二または第三のノードのホスト名を含める必要があり、クラスタメンバー間の暗号化された信頼できる通信を確保します。
- 以下の証明書がルート/中間 CA 証明書によって署名されていることを確認してください:
- elasticsearch-cert.pem
- elasticsearch-node-cert.pem
- 以下の証明書がルート/中間 CA 証明書によって署名されていることを確認してください:
-
elasticsearch-cert.pem
Windows および Linux の両方に適用されます。
-
elasticsearch-node-cert.pem
Linux にのみ適用可能です。
-
elasticsearch-cert.pem
-
elasticsearch-cert.pem は管理用途向けです。firstnode hostname の使用を推奨します。
- .zip ファイル内の証明書が以下のガイドラインに従っていることを確認し、Control Room によって簡単にアクセスおよび処理できるようにしてください。
- 証明書が暗号化されていないことを確認してください(パスワード保護なし)
- 必須の5つの証明書ファイルのみを含めてください。
- フォルダー構造には、.zip ファイル内にサブフォルダーを含めてはいけません。
たとえば次のようなものが考えられます。
- 証明書には共通名 (CN) が必要です。 CNとしてホスト名を使用することをお勧めします。
カスタム証明書アップロードの一般的なエラーのデバッグ
カスタム証明書の取得が失敗する可能性がある理由は次のとおりです。 詳細情報については、msi ログを temp フォルダーで確認してください。 例: C:\Users\<Username>\AppData\Local\Temp.
| エラー コード | 考えられる理由 | 軽減 |
|---|---|---|
| java.security.cert.CertificateExpiredException | 証明書が無効であるエラーです。 | 証明書が期限切れでないことを確認し、証明書の詳細に不一致がないかをチェックしてください。 問題を修正した後、証明書を再アップロードしてください。 |
| java.Lang.RuntimeException: エラー 必要な証明書が存在しません | .zip フォルダー構造が不正であるか、証明書が欠落しています。証明書エラー。 | 証明書が.zipフォルダーに正しく配置されていることを確認してください。 |
| エラー: java.lang.RuntimeException: Elasticsearchのルート証明書はCAではありません | ルートCAがノード証明書と一致しません。 | 証明書が有効なCA証明書であることを確認してください。 問題を修正して、証明書を再アップロードしてください。 |