Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda/ MapReduce Service/ Guía del usuario/ Guía de operación de MRS Manager (Aplicable a versiones 2.x y anteriores)/ Gestión de seguridad/ Sustitución del certificado de HA

Actualización más reciente 2023-11-20 GMT+08:00

Ver PDF

Sustitución del certificado de HA

Escenario

Los certificados de HA se utilizan para cifrar la comunicación entre los procesos activos/en espera y los procesos HA para garantizar la seguridad de la comunicación. Esta sección describe cómo reemplazar los certificados HA en los nodos de gestión activos y en espera en MRS Manager para garantizar la seguridad del producto.

El archivo de certificado y el archivo de clave pueden ser generados por el usuario.

Impacto en el sistema

MRS Manager necesita reiniciarse durante el reemplazo y no se puede acceder ni proporcionar servicios en ese momento.

Prerrequisitos

Ha obtenido el archivo de certificado raíz HA root-ca.crt y el archivo de clave root-ca.pem que se reemplazarán.
Ha preparado una contraseña, como Userpwd@123 para acceder al archivo de clave.
Para evitar posibles riesgos de seguridad, la contraseña debe cumplir los siguientes requisitos de complejidad:
- La contraseña debe tener al menos ocho caracteres.
- La contraseña debe contener al menos cuatro tipos de los siguientes caracteres: letras mayúsculas, minúsculas, dígitos y caracteres especiales (~`!?,.:;-_'(){}[]/<>@#$%^&*+|\=).

Procedimiento

Inicie sesión en el nodo de gestión activo.
Ejecute los siguientes comandos para cambiar el usuario:

sudo su - root

su - omm
Ejecute los siguientes comandos para generar root-ca.crt y root-ca.pem en el directorio ${OMS_RUN_PATH}/workspace0/ha/local/cert en el nodo de gestión activo:

sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=country --state=state --city=city --company=company --organize=organize --common-name=commonname --email=Administrator email address --password=password

Por ejemplo, ejecute el siguiente comando:sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=gd --city=sz --company=hw --organize=IT --common-name=HADOOP.COM --email=abc@hw.com --password=Userpwd@123

El comando se ha ejecutado correctamente si se muestra la siguiente información:
```
Generate root-ca pair success.
```
En el nodo de gestión activo, ejecute el siguiente comando como usuario omm para copiar root-ca.crt y root-ca.pem al directorio ${BIGDATA_HOME}/om-0.0.1/security/certHA:

cp -arp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* ${BIGDATA_HOME}/om-0.0.1/security/certHA
Copie las root-ca.crt y las root-ca.pem generadas en el nodo de gestión activo en el directorio ${BIGDATA_HOME}/om-0.0.1/security/certHA del nodo de gestión en espera como usuario omm.
Ejecute el siguiente comando para generar un certificado HA y realizar el reemplazo automático:

sh ${BIGDATA_HOME}/om-0.0.1/sbin/replacehaSSLCert.sh

Ingrese la contraseña como se le solicite y presione Enter.
```
Por favor, introduzca la contraseña de ha ssl cert:
```
El certificado HA se reemplaza correctamente si se muestra la siguiente información:
```
[INFO] Succeed to replace ha ssl cert.
```
Ejecute el siguiente comando para reiniciar OMS:

sh ${BIGDATA_HOME}/om-0.0.1/sbin/restart-oms.sh

Se muestra la siguiente información:
```
start HA successfully.
```
Inicie sesión en el nodo de gestión en espera y cambie a usuario omm. Repita el paso 6 al paso 7.

Ejecute el comando sh ${BIGDATA_HOME}/om-0.0.1/sbin/status-oms.sh para comprobar si el HAAllResOK del nodo de gestión es Normal. Acceda a MRS Manager de nuevo. Si se puede acceder a MRS Manager, la operación se realiza correctamente.