OpenSearch 自定义证书
- Updated: 2025/09/26
在集群设置中安装 Control Room 期间,您可以上传由受信任证书颁发机构 (CA) 签发的自定义证书,以增强安全性,而不是使用产品提供的默认证书。
在上传自定义证书之前,请确保查看以下指南和建议:
- 确保证书具有适当的有效期(持续时间),以免安装失败。
- 请查看以下自定义证书文件的命名约定,这些文件必须具有特定名称才能在 Windows 中安装:
文件 预期的文件命名 预期的文件格式 根(CA 证书) root-ca-cert.pem .pem 证书/密钥(节点-管理/互通信) elasticsearch-cert.pem .pem elasticsearch-key.pem 注:- 如果您具有中间证书,可以将其重命名为 root-ca-cert.pem 以用作根证书。 然后,在对中间证书进行证书链验证后,系统会将中间证书认定为根证书。
- .zip 文件必须包含证书、密钥和根 CA 证书文件。
- 请查看 Linux 中自定义证书文件的以下命名约定:
文件 预期的文件命名 预期的文件格式 根(CA 证书) root-ca-cert.pem .pem 证书/密钥(节点-管理) elasticsearch-cert.pem .pem elasticsearch-key.pem 证书/密钥(节点-互通信) elasticsearch-node-cert.pem .pem elasticsearch-node-key.pem - 尽管 elasticsearch-cert.pem 用于管理目的,我们建议您使用 firstnode 主机名。注:
- 对于 Linux,elasticsearch-node-cert.pem 用于保护节点间的通信安全。 它必须包含第二个或第三个节点的主机名,以确保集群成员之间的通信是加密且可信的。
- 对于 Windows,elasticsearch-cert.pem 既用于保护节点间通信,也用于管理目的。
- 确保以下证书由根/中间 CA 证书签署:
-
elasticsearch-cert.pem
适用于 Windows 和 Linux。
-
elasticsearch-node-cert.pem
仅适用于 Linux。
-
elasticsearch-cert.pem
- 尽管 elasticsearch-cert.pem 用于管理目的,我们建议您使用 firstnode 主机名。
- 确保 .zip 文件中的证书遵循以下指南,以便 Control Room 能够轻松访问和处理。
- 确保证书未加密(无密码保护)
- 仅包含三个必需的证书文件
- 文件夹结构不应在 .zip 文件中包含任何子文件夹。
- Windows 示例:
- Linux 示例:
- Windows 示例:
- 证书必须具有通用名称 (CN)。 我们建议使用主机名作为 CN。
调试常见的自定义证书上传错误
由于以下原因,自定义证书检索可能会失败。 有关详细信息,请检查 temp 文件夹中的 msi 日志。 示例: C:\Users\<Username>\AppData\Local\Temp。
| 错误代码 | 可能原因 | 缓解 |
|---|---|---|
| java.security.cert.CertificateExpiredException | 证书无效错误。 | 确保证书未过期,并检查证书详细信息中是否有任何不匹配。 在纠正所有问题后重新上传证书。 |
| java.Lang.RuntimeException: 错误,所需证书不存在 | .zip 文件夹结构不正确或证书缺失证书错误。 | 确保证书正确放置在 .zip 文件夹中。 |
| 错误:java.lang.RuntimeException: Elasticsearch 根证书不是 CA | 根 CA 与节点证书不匹配。 | 验证该证书是有效的 CA 证书。 纠正所有问题并重新上传证书。 |