Durante a instalação da Control Room em uma configuração de cluster, é possível carregar certificados personalizados com uma autoridade de certificação (CA) confiável em vez de usar o certificado padrão proporcionado pelo produto para aumentar a segurança.

Verifique as seguintes diretrizes e recomendações antes de fazer upload de certificados personalizados:
  • Verifique se os certificados têm uma validade (duração) adequada para que a instalação não falhe.
  • Consulte as seguintes convenções de nomenclatura para os arquivos de certificados personalizados no Windows e no Linux:
    Arquivo Nomeação de arquivo esperada Formato de arquivo esperado
    Raiz (certificado CA) root-ca-cert.pem .pem
    Certificado/Chave (nós-administrativo) elasticsearch-cert.pem .pem
    elasticsearch-key.pem
    Certificado/Chave (nós-intercomunicação) elasticsearch-node-cert.pem .pem
    elasticsearch-node-key.pem
    • O elasticsearch-cert.pem é destinado a fins administrativos; recomendamos que você utilize o nome de host do primeiro nó.

      O elasticsearch-node-cert.pem é utilizado para proteger a comunicação entre os nós. Ele deve incluir os nomes de host do segundo ou terceiro nó, garantindo uma comunicação criptografada e confiável entre os membros do cluster.

      Nota:
      • Se você tiver um certificado intermediário, pode renomeá-lo para root-ca-cert.pem para usá-lo como o certificado raiz. O sistema reconhecerá esse certificado intermediário como a raiz após realizar uma validação da cadeia de certificados até ele.
      • O arquivo .zip deve conter os arquivos de certificado, chave e certificado da CA raiz.
    • Certifique-se de que os seguintes certificados (aplicáveis para Windows e Linux) estejam assinados pelo certificado CA raiz/intermediário:
      • elasticsearch-cert.pem
      • elasticsearch-node-cert.pem
        Nota:
        • Dois certificados exclusivos assinados pela CA devem ser gerados:
          • Um para o administrador do nó.
          • Um para intercomunicação de nós
        • Ambos os certificados devem possuir nomes comuns exclusivos. O mesmo nome comum não pode ser usado para esses certificados.
        • Os certificados TLS da camada de transporte precisam ser configurados tanto como cliente (autenticação TLS do cliente Web) quanto como servidor (autenticação TLS do servidor Web) na seção Uso estendido da chave do certificado, pois os nós que utilizam esses certificados TLS assumem a responsabilidade de atender e receber solicitações de comunicação internamente. Os certificados devem ter uso de chave estendido com autenticação de servidor e cliente. Por exemplo, ao gerar os certificados, é necessário incluir extendedKeyUsage = serverAuth, clientAuth usando um arquivo de configuração.
  • Verifique se os certificados no arquivo .zip seguem as diretrizes abaixo para poderem ser facilmente acessados e processados pela Control Room.
    • Certifique-se de que os certificados não estejam criptografados (sem proteção por senha)
    • Inclua apenas os cinco arquivos de certificado necessários
    • A estrutura de pastas não deve conter nenhuma subpasta dentro do arquivo .zip.

      Por exemplo: CA do OpenSearch para Linux

  • O certificado deve ter um nome comum (CN). Recomendamos usar o nome do host como CN.

Depuração de erros comuns no upload de certificados personalizados

A recuperação de certificado personalizado pode falhar devido aos seguintes motivos. Para informações detalhadas, verifique os logs do msi na pasta temp. Exemplo: C:\Users\<Username>\AppData\Local\Temp.
Código de erro Possível razão Mitigação
java.security.cert.CertificateExpiredException Erro de certificado inválido. Verifique se o certificado não expirou e se não há inconsistências em seus detalhes. Reenvie o certificado após corrigir quaisquer problemas.
java.Lang.RuntimeException: ERRO o certificado necessário não existe A estrutura da pasta .zip está incorreta ou o certificado está faltando, erro de certificado. Verifique se os certificados estão colocados corretamente na pasta .zip.
ERROR: java.lang.RuntimeException: O certificado raiz do Elasticsearch não é uma CA A CA raiz não corresponde ao certificado do nó. Verifique se o certificado é um certificado de CA válido. Corrija quaisquer problemas e reenvie o certificado.