更新时间:2024-11-29 GMT+08:00

导入证书

操作场景

CA证书用于FusionInsight Manager各个模块、集群的组件客户端与服务端在通信过程中加密数据,实现安全通信。FusionInsight Manager支持快速导入CA证书,以确保产品安全使用。适用于以下场景:

  • 首次安装好集群以后,需要更换企业证书。
  • 企业证书有效时间已过期或安全性加强,需要更换为新的证书。

对系统的影响

  • 更换证书过程中集群需要重启,此时系统无法访问且无法提供服务。
  • 更换证书以后,所有组件和Manager的模块使用的证书将自动更新。
  • 更换证书以后,还未信任该证书的本地环境,需要重新安装证书。

前提条件

  • 证书文件和密钥文件可向企业证书管理员申请或由管理员生成。
  • 获取需要导入到集群的CA证书文件(*.crt)、密钥文件(*.key)以及保存访问密钥文件密码的文件(password.property)。证书名称和密钥名称支持大小写字母和数字。以上文件在生成以后需要打包成tar格式压缩包。
  • 准备一个访问密钥文件的密码用于访问密钥文件。

    密码复杂度要求如下,如果密码复杂度不满足如下要求,可能存在安全风险:

    • 密码字符长度最小为8位。
    • 至少需要包含大写字母、小写字母、数字、特殊字符~`!?,.;-_'(){}[]/<>@#$%^&*+|\=中的4种类型字符。
  • 向证书管理员申请证书时,请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件,以及key和pem格式密钥文件。申请的证书需要有签发功能。

操作步骤

  1. 登录FusionInsight Manager,选择系统 > 证书
  2. 在“上传证书”右侧单击“添加文件”,在文件窗口中浏览已获取的证书文件tar压缩包并确认选择此文件。
  3. 单击上传文件,Manager将上传压缩包并自动执行导入操作。
  4. 导入完成后提示同步集群配置并重启WEB服务使新证书生效,单击“确定”。
  5. 在弹出窗口输入当前登录用户密码验证身份,单击“确定”自动同步集群配置并重启WEB服务。

    如在同步集群配置过程中,刷新了页面或关闭了浏览器,需执行以下操作手动重启WEB服务:

    1. 使用omm用户登录OMS主节点。
    2. 执行以下命令重启HTTPD。其中xxx为HTTPD版本号,具体以实际为准。

      sh ${BIGDATA_HOME}/om-server/Apache-httpd-xxx/setup/restarthttpd.sh

    3. 执行以下命令重启Tomcat。

      sh ${BIGDATA_HOME}/om-server/tomcat/bin/shutdown.sh;sh ${BIGDATA_HOME}/om-server/tomcat/bin/startup.sh

    4. 执行以下命令重启Knox。

      sh /opt/knox/bin/restart-knox.sh

  6. 重启完成后在浏览器地址栏中,输入并访问FusionInsight Manager的网络地址,验证能否正常打开页面。
  7. 登录FusionInsight Manager。
  8. 在“主页”右上方选择更多 > 重启
  9. 输入当前登录的用户密码确认身份,单击“确定”