在集群设置中安装 Control Room 期间,您可以上传由受信任证书颁发机构 (CA) 签发的自定义证书,以增强安全性,而不是使用产品提供的默认证书。

在上传自定义证书之前,请确保查看以下指南和建议:
  • 确保证书具有适当的有效期(持续时间),以免安装失败。
  • 自定义证书文件必须具有特定的名称才能安装,请遵循以下命名约定:
    文件 预期的文件命名 预期的文件格式
    证书(节点) elasticsearch-cert.pem .pem
    键(节点) elasticsearch-key.pem .pem
    根(CA 证书) root-ca-cert.pem .pem
    注:
    • 如果您具有中间证书,可以将其重命名为 root-ca-cert.pem 以用作根证书。 然后,在对中间证书进行证书链验证后,系统会将中间证书认定为根证书。
    • .zip 文件必须包含证书、密钥和根 CA 证书文件。
  • 确保 .zip 文件中的证书遵循以下指南,以便 Control Room 能够轻松访问和处理。
    • 确保证书未加密(无密码保护)
    • 仅包含三个必需的证书文件
    • 文件夹结构不应在 .zip 文件中包含任何子文件夹。

      示例:

      OpenSearch .zip 文件夹结构
  • 证书必须具有通用名称 (CN)。 我们建议使用主机名作为 CN。 无论集群中有多少节点,都只需要一个证书。

调试常见的自定义证书上传错误

由于以下原因,自定义证书检索可能会失败。 有关详细信息,请检查 temp 文件夹中的 msi 日志。 示例: C:\Users\<Username>\AppData\Local\Temp
错误代码 可能原因 缓解
java.security.cert.CertificateExpiredException 证书无效错误。 确保证书未过期,并检查证书详细信息中是否有任何不匹配。 在纠正所有问题后重新上传证书。
java.Lang.RuntimeException: 错误,所需证书不存在 .zip 文件夹结构不正确或证书缺失证书错误。 确保证书正确放置在 .zip 文件夹中。
错误:java.lang.RuntimeException: Elasticsearch 根证书不是 CA 根 CA 与节点证书不匹配。 验证该证书是有效的 CA 证书。 纠正所有问题并重新上传证书。