Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ MapReduce Service/ Guía del usuario/ Guía de operación del FusionInsight Manager (aplicable a 3.x)/ Gestión de la seguridad/ Gestión de certificado/ Sustitución de certificados de HA

Actualización más reciente 2023-11-20 GMT+08:00

Ver PDF

Sustitución de certificados de HA

Escenario

Los certificados de HA se utilizan para cifrar la comunicación entre los procesos activos/en espera y los procesos de alta disponibilidad para garantizar la seguridad. Reemplace los certificados HA en los nodos de gestión activos y en espera en FusionInsight Manager para garantizar la seguridad del producto. Esta operación es aplicable a los siguientes escenarios:

Después de instalar el clúster por primera vez, importe un certificado de empresa.
Si el certificado de empresa ha caducado o es necesario reforzar la seguridad, reemplácelo por un nuevo certificado.

MRS pero no es aplicable a escenarios en los que no están instalados los nodos de gestión activos y en espera.

El archivo de certificado y el archivo de clave se pueden aplicar desde el centro de certificados de empresa o generar por el usuario del clúster.

Impacto en el sistema

FusionInsight Manager debe reiniciarse durante la sustitución y no se puede acceder ni proporcionar servicios.

Prerrequisitos

Ha obtenido el archivo raíz root-ca.crt y el archivo de clave root-ca.pem del certificado que se va a reemplazar.
Ha preparado una contraseña, por ejemplo, Userpwd@123, para acceder al archivo de clave.
Para evitar posibles riesgos de seguridad, la contraseña debe cumplir los siguientes requisitos de complejidad:
- Contiene al menos 8 caracteres.
- Contiene al menos cuatro tipos de los siguientes: letras mayúsculas, minúsculas, números y caracteres especiales (~`!?,.;-_'(){}[]/<>@#$%^&*+|\=).
Cuando solicite un certificado desde el centro de certificados, proporcione la contraseña para acceder al archivo de clave y solicite los archivos de certificado en formatos CRT, CER, CERT y PEM y los archivos de clave en formatos KEY y PEM. El certificado aplicado debe tener la función de emisión.

Procedimiento

Inicie sesión en el nodo de gestión activo como usuario omm mediante la dirección IP del nodo de gestión activo.
Seleccione un método para generar archivos de certificado y archivos de clave.
- Si el certificado es generado por el centro de certificados, guarde el archivo de certificado y el archivo de clave en el directorio ${OMS_RUN_PATH}/workspace0/ha/local/cert en los nodos de gestión activo y en espera.
  
  Si el archivo de certificado obtenido no tiene el formato .crt y el archivo de clave no tiene el formato .pem, ejecute los siguientes comandos para cambiar los formatos de archivo:
  
  mv Certificate name.Certificate formatroot-ca.crt
  
  mv Key name.Key format root-ca.pem
  
  Por ejemplo, ejecute los siguientes comandos para nombrar el archivo de certificado root-ca.crt y el archivo de clave root-ca.pem:
  
  mv server.cer root-ca.crt
  
  mv server_key.key root-ca.pem
- Si el usuario del clúster genera el certificado, ejecute el siguiente comando para generar root-ca.crt y root-ca.pem en el directorio ${OMS_RUN_PATH}/workspace0/ha/local/cert:
  sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=state --city=city --company=company --organize=organize --common-name=commonname --email=Cluster user email address
  
  El período de validez del archivo de certificado generado es de 10 años. Cuando el archivo de certificado del sistema está a punto de caducar, el sistema genera la alarma "ALM-12055 El archivo de certificado está a punto de caducar".
  
  Por ejemplo, ejecute el siguiente comando:
  
  sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=guangdong --city=shenzhen --company=huawei --organize=IT --common-name=HADOOP.COM --email=abc@xxx.com
  
  Ingrese la contraseña como se le solicite y presione Enter.
```
Enter pass phrase for /opt/huawei/Bigdata/om-server/OMS/workspace/ha/local/cert/root-ca.pem:
```
  El comando se ejecuta si se muestra la siguiente información:
```
Generate root-ca pair success.
```
En el nodo de gestión activo, ejecute el siguiente comando como usuario omm para copiar root-ca.crt y root-ca.pem al directorio ${BIGDATA_HOME}/om-server/om/security/certHA:

cp -arp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* ${BIGDATA_HOME}/om-server/om/security/certHA
Copie root-ca.crt y root-ca.pem generadas en el nodo de gestión activo en el directorio ${BIGDATA_HOME}/om-server/om/security/certHA del nodo de gestión en espera como usuario omm.

scp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* omm@IP address of the standby management node:${BIGDATA_HOME}/om-server/om/security/certHA
Ejecute el siguiente comando para generar un certificado HA y realizar el reemplazo automático:

sh ${BIGDATA_HOME}/om-server/om/sbin/replacehaSSLCert.sh

Ingrese la contraseña como se le solicite y presione Enter.
```
Please input ha ssl cert password:
```
El certificado DBService HA se reemplaza correctamente si se muestra la siguiente información:
```
[INFO] Succeed to replace ha ssl cert.
```
Si el usuario desea actualizar el paquete para cifrar la contraseña HA, agregue el parámetro -u.
Ejecute el siguiente comando para reiniciar el OMS:

sh ${BIGDATA_HOME}/om-server/om/sbin/restart-oms.sh

Se muestra la siguiente información:
```
start HA successfully.
```
Inicie sesión en el nodo de gestión en espera como usuario omm mediante la dirección IP del nodo de gestión en espera.

Ejecute sh ${BIGDATA_HOME}/om-server/om/sbin/status-oms.sh para comprobar si HAAllResOK del nodo de gestión es Normal y si FusionInsight Manager puede iniciar sesión de nuevo. En caso afirmativo, la operación es exitosa.