Durante a instalação da Control Room em uma configuração de cluster, é possível carregar certificados personalizados com uma autoridade de certificação (CA) confiável em vez de usar o certificado padrão proporcionado pelo produto para aumentar a segurança.

Verifique as seguintes diretrizes e recomendações antes de fazer upload de certificados personalizados:
  • Verifique se os certificados têm uma validade (duração) adequada para que a instalação não falhe.
  • Analise a seguinte convenção de nomenclatura para os arquivos de certificados personalizados que devem ter nomes específicos para instalação no Windows:
    Arquivo Nomeação de arquivo esperada Formato de arquivo esperado
    Raiz (certificado CA) root-ca-cert.pem .pem
    Certificado/Chave (nós-administrativo/intercomunicação) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Nota:
    • Se você tiver um certificado intermediário, pode renomeá-lo para root-ca-cert.pem para usá-lo como o certificado raiz. O sistema reconhecerá esse certificado intermediário como a raiz após realizar uma validação da cadeia de certificados até ele.
    • O arquivo .zip deve conter os arquivos de certificado, chave e certificado da CA raiz.
  • Analise as seguintes convenções de nomenclatura para os arquivos de certificados personalizados no Linux:
    Arquivo Nomeação de arquivo esperada Formato de arquivo esperado
    Raiz (certificado CA) root-ca-cert.pem .pem
    Certificado/Chave (nós-administrativo) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Certificado/Chave (nós-intercomunicação) elasticsearch-node-cert.pem .pem
    elasticsearch-node-key.pem
    • Embora elasticsearch-cert.pem seja para fins administrativos, recomendamos que você use o nome de host do primeiro nó.
      Nota:
      • Para Linux, o elasticsearch-node-cert.pem é usado para proteger a comunicação entre nós. Ele deve incluir os nomes de host do segundo ou terceiro nó, garantindo uma comunicação criptografada e confiável entre os membros do cluster.
      • Para Windows, elasticsearch-cert.pem é usado tanto para proteger a comunicação entre nós quanto para fins administrativos.
    • Certifique-se de que os certificados a seguir sejam assinados pelo certificado CA raiz/intermediário:
      • elasticsearch-cert.pem

        Aplicável tanto para Windows quanto para Linux.

      • elasticsearch-node-cert.pem

        Aplicável somente para Linux.

  • Verifique se os certificados no arquivo .zip seguem as diretrizes abaixo para poderem ser facilmente acessados e processados pela Control Room.
    • Certifique-se de que os certificados não estejam criptografados (sem proteção por senha)
    • Inclua apenas os três arquivos de certificado necessários
    • A estrutura de pastas não deve conter nenhuma subpasta dentro do arquivo .zip.
      • Exemplo para Windows:

        Estrutura de pastas do arquivo .zip do OpenSearch

      • Exemplo para Linux:

        CA do OpenSearch para Linux

  • O certificado deve ter um nome comum (CN). Recomendamos usar o nome do host como CN.

Depuração de erros comuns no upload de certificados personalizados

A recuperação de certificado personalizado pode falhar devido aos seguintes motivos. Para informações detalhadas, verifique os logs do msi na pasta temp. Exemplo: C:\Users\<Username>\AppData\Local\Temp.
Código de erro Possível razão Mitigação
java.security.cert.CertificateExpiredException Erro de certificado inválido. Verifique se o certificado não expirou e se não há inconsistências em seus detalhes. Reenvie o certificado após corrigir quaisquer problemas.
java.Lang.RuntimeException: ERRO o certificado necessário não existe A estrutura da pasta .zip está incorreta ou o certificado está faltando, erro de certificado. Verifique se os certificados estão colocados corretamente na pasta .zip.
ERROR: java.lang.RuntimeException: O certificado raiz do Elasticsearch não é uma CA A CA raiz não corresponde ao certificado do nó. Verifique se o certificado é um certificado de CA válido. Corrija quaisquer problemas e reenvie o certificado.