Durante a instalação da Control Room em uma configuração de cluster, é possível carregar certificados personalizados com uma autoridade de certificação (CA) confiável em vez de usar o certificado padrão proporcionado pelo produto para aumentar a segurança.

Verifique as seguintes diretrizes e recomendações antes de fazer upload de certificados personalizados:
  • Certifique-se de que os certificados tenham uma validade (duração) adequada para que a instalação não falhe.
  • Os arquivos de certificados personalizados devem ter nomes específicos para instalação; siga a convenção de nomenclatura abaixo:
    Arquivo Nomeação de arquivo esperada Formato de arquivo esperado
    Certificado (nós) elasticsearch-cert.pem .pem
    Chave (nós) elasticsearch-key.pem .pem
    Raiz (certificado CA) root-ca-cert.pem .pem
    Nota:
    • Se você tiver um certificado intermediário, pode renomeá-lo para root-ca-cert.pem para usá-lo como o certificado raiz. O sistema reconhecerá esse certificado intermediário como a raiz após realizar uma validação da cadeia de certificados até ele.
    • O arquivo .zip deve conter os arquivos de certificado, chave e certificado da CA raiz.
  • Certifique-se de que os certificados no arquivo .zip sigam as diretrizes abaixo para que possam ser facilmente acessados e processados pela Control Room.
    • Certifique-se de que os certificados não estejam criptografados (sem proteção por senha)
    • Inclua apenas os três arquivos de certificado necessários
    • A estrutura de pastas não deve conter nenhuma subpasta dentro do arquivo .zip.

      Exemplo:

      Estrutura de pastas do arquivo .zip do OpenSearch
  • O certificado deve ter um nome comum (CN). Recomendamos usar o nome do host como CN. Apenas um certificado é necessário, independentemente do número de nós no cluster.

Depuração de erros comuns no upload de certificados personalizados

A recuperação de certificado personalizado pode falhar devido aos seguintes motivos. Para informações detalhadas, verifique os logs do msi na pasta temp. Exemplo: C:\Users\<Username>\AppData\Local\Temp.
Código de erro Possível razão Mitigação
java.security.cert.CertificateExpiredException Erro de certificado inválido. Certifique-se de que o certificado não tenha expirado e verifique se há alguma incompatibilidade nos detalhes do certificado. Reenvie o certificado após corrigir quaisquer problemas.
java.Lang.RuntimeException: ERRO o certificado necessário não existe A estrutura da pasta .zip está incorreta ou o certificado está faltando, erro de certificado. Certifique-se de que os certificados estejam corretamente colocados na pasta .zip.
ERROR: java.lang.RuntimeException: O certificado raiz do Elasticsearch não é uma CA A CA raiz não corresponde ao certificado do nó. Verifique se o certificado é um certificado de CA válido. Corrija quaisquer problemas e reenvie o certificado.