Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ MapReduce Service/ Guía del usuario/ Guía de operación del FusionInsight Manager (aplicable a 3.x)/ Gestión de la seguridad/ Gestión de certificado/ Sustitución del certificado de CA
Actualización más reciente 2023-11-20 GMT+08:00
Ver PDF

Sustitución del certificado de CA

Escenario

El certificado de CA de se utiliza para encriptación de datos durante la comunicación entre el cliente y el servidor de un componente para garantizar la seguridad de la comunicación. Puede reemplazar el certificado de CA en FusionInsight Manager para garantizar la seguridad del producto. Esta operación es aplicable a los siguientes escenarios:

  • Después de instalar el clúster por primera vez, importe un certificado de empresa.
  • Si el certificado de empresa ha caducado o es necesario reforzar la seguridad, reemplácelo por un nuevo certificado.

Después de reemplazar el certificado de CA, los certificados utilizados por HDFS, YARN, MapReduce, HBase, Loader, HueOozie, Hive, Tomcat, CAS, HTTPD, y LDAP en se actualizarán automáticamente.

El archivo de certificado y el archivo de clave se pueden aplicar desde el centro de certificados de empresa o generar por el usuario del clúster.

  • Solo los certificados de CA que se pueden emitir y en formato X.509 se pueden importar en FusionInsight.
  • FusionInsight requiere que el formato de codificación del sistema operativo sea en_US.UTF-8 o POSIX. De lo contrario, la función de certificado será anormal.
  • Si existe un nodo defectuoso aislado en el clúster actual, no se reemplazará el certificado de CA del nodo. Después de desaislar el nodo, debe volver a instalar los servicios que se ejecutan en el nodo para asegurarse de que el nodo y el clúster utilizan el mismo certificado de CA.

Impacto en el sistema

El sistema de debe reiniciarse durante el reemplazo y no se puede acceder ni proporcionar servicios.

Prerrequisitos

  • Ha obtenido los archivos que se van a importar al clúster de, incluidos el archivo de certificado de CA (*.crt), el archivo de clave (*.key) y el archivo (password.property) que guarda la contraseña del archivo de clave. El nombre del certificado y el nombre de la clave admiten letras y dígitos.
  • Ha preparado una contraseña para acceder al archivo de clave.

    Para evitar posibles riesgos de seguridad, la contraseña debe cumplir los siguientes requisitos de complejidad:

    • Contiene al menos 8 caracteres.
    • Contiene al menos cuatro tipos de los siguientes: letras mayúsculas, minúsculas, números y caracteres especiales (~`!?,.;-_'(){}[]/<>@#$%^&*+|\=).
  • Cuando solicite un certificado desde el centro de certificados, proporcione la contraseña para acceder al archivo de clave y solicite los archivos de certificado en formatos CRT, CER, CERT y PEM y los archivos de clave en formatos KEY y PEM. El certificado aplicado debe tener la función de emisión.

Procedimiento

  1. Inicie sesión en cualquier nodo de gestión en el clúster como usuario omm.
  2. Seleccione un método para generar archivos de certificado y archivos de clave.

    • Si el certificado es generado por el centro de certificados, guarde el archivo de certificado y el archivo de clave en el directorio de usuario omm en el nodo de gestión.

      Si el archivo de certificado obtenido no tiene el formato .crt y el archivo de clave no tiene el formato .key ejecute los siguientes comandos para cambiar los formatos de archivo:

      mv Certificate name.Certificate formatCertificate name.crt

      mv Key name.Key format Key name.key

      Por ejemplo, ejecute los siguientes comandos para nombrar el archivo de certificado ca.crt y el archivo de clave ca.key:

      mv server.cer ca.crt

      mv server_key.pem ca.key

    • Si el usuario del clúster genera el certificado, ejecute los siguientes comandos para generar el archivo de certificado y el archivo de clave en el directorio de usuario omm en el nodo de gestión:
      1. Generar el archivo clave.

        Ejecute el siguiente comando para comprobar si la versión de OpenSSL es 1.1.1 o posterior:

        /usr/bin/openssl version

        • Si es así, ejecute el siguiente comando:

          openssl genrsa -out Key name.key -aes256 3072

        • Si no, ejecute el siguiente comando:

          openssl genrsa -out Key name.key -aes256 3072 -sha256

        Por ejemplo, para generar el archivo de clave ca.key, ejecute el siguiente comando:

        openssl genrsa -out ca.key -aes256 3072 -sha256

        Ingrese la contraseña dos veces como se le indique y presione Enter.

        Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:
      2. Generar el archivo de certificado.

        openssl req -new -x509 -days 1825 -key Key name.key -out Certificate name.crt -subj "/C=cn/ST=guangdong/L=shenzhen/O=huawei/OU=huawei/CN=huawei" -sha256

        Por ejemplo, para generar el archivo de certificado ca.crt, ejecute el siguiente comando:

        openssl req -new -x509 -days 1825 -key ca.key -out ca.crt -subj "/C=cn/ST=guangdong/L=shenzhen/O=huawei/OU=huawei/CN=huawei" -sha256

        Ingrese la contraseña del archivo de clave como se le solicite y presione Enter.

        Enter pass phrase for ca.key:

  3. Ejecute el siguiente comando en el directorio de usuario omm en el nodo de gestión para guardar la contraseña para acceder al archivo de clave.

    sh ${BIGDATA_HOME}/om-server/om/sbin/genPwFile.sh

    Ingrese la contraseña dos veces como se le indique y presione Enter. Una vez encriptada, la contraseña se guarda en password.property.

    Please input key password: 
Please Confirm password:
    • El archivo password.property generado en un nodo sólo es aplicable en el clúster al que pertenece el nodo actual.
    • En escenarios de DR activo/en espera, el script genPwFile.sh debe ejecutarse en los nodos de clúster activo y DR, y se debe ingresar la misma contraseña para los dos clústeres.

  4. Comprima los tres archivos en formato .tar y guárdelos en el equipo local.

    tar -cvf Package name Certificate name .crt Key name .key password.property

    Por ejemplo, tar -cvf test.tar ca.crt ca.key password.property

    En escenarios de recuperación ante desastres activos/en espera, ejecute este comando en cada nodo del clúster.

  5. Inicie sesión en FusionInsight Manager y elija System > Certificate.
  6. En el área Upload Certificate, haga clic en el botón de selección de archivos. En la ventana de selección de archivos, seleccione los paquetes de archivos de certificado .tar obtenidos y ábralos y haga clic en Upload. El sistema importa automáticamente el certificado.
  7. Después de importar el certificado, el sistema le pedirá que sincronice la configuración del clúster y reinicie el servicio web para que el nuevo certificado surta efecto. Después de completar estas operaciones, haga clic en OK.
  8. En el cuadro de diálogo que se muestra, escriba la contraseña y haga clic en OK para sincronizar automáticamente la configuración del clúster y reiniciar el servicio web.
  9. Después de reiniciar el clúster, introduzca la URL para acceder al FusionInsight Manager en el cuadro de dirección del navegador y compruebe si la interfaz de usuario web del FusionInsight Manager se puede mostrar correctamente.

    El certificado de empresa ha caducado o se ha reforzado la seguridad. Después de reemplazar el certificado de, reemplace también el certificado local.

  10. Elija More > Restart. En el cuadro de diálogo que se muestra, introduzca la contraseña del usuario de inicio de sesión actual y haga clic en OK.

    Después de reemplazar el certificado de CA, debe reiniciar el clúster sin conexión para que el certificado surta efecto. No se admite el reinicio continuo.

  11. En el cuadro de diálogo de confirmación de reinicio que se muestra, haga clic en OK.
Tema principal: Gestión de certificado