文档首页/ MapReduce服务 MRS/ 故障排除/ 集群管理类/ 如何处理集群内部OBS证书过期
更新时间:2024-08-27 GMT+08:00
分享

如何处理集群内部OBS证书过期

用户问题

用户在MRS集群中访问OBS服务过程中出现证书过期问题。

问题现象

MRS集群产生“ALM-12054 证书文件失效”或“ALM-12055 证书文件即将过期”告警,且告警详情中触发告警的证书为OBS证书

图1 OBS证书即将过期告警
图2 OBS证书失效告警

原因分析

OBS系统生成的证书有有效期限制,到达有效期后,证书文件失效,因此产生告警。

处理步骤

  1. 查询MRS集群上的OBS证书信息。

    使用root用户登录MRS集群的主OMS节点,执行以下命令查询是否存在OBS相关证书。

    keytool -v -list -keystore ${JAVA_HOME}/jre/lib/security/cacerts -protected 2> /dev/null|grep -E "Alias name*|Valid from*" | grep obs

    如下示例表示存在OBS证书:

    Alias name: obs.example.com
    • 若不存在证书,则无需进行后续操作,等待告警恢复。
    • 若存在证书,则执行2
    • ${java_home}为集群JDK目录,MRS 3.x版本中,替换为“/opt/Bigdata/common/runtime0/jdk1.8*”,MRS 3.x之前版本中,替换为“/opt/Bigdata/jdk”。
    • MRS 3.x版本集群若按照该指导执行后依然出现证书过期告警,请将${JAVA_HOME}替换为客户端安装目录/JDK/jdk”,再次执行该指导。

  2. 删除OBS证书。

    在主OMS节点中,执行以下命令删除1中查询到的OBS证书。

    obs_url=$(keytool -v -list -keystore ${JAVA_HOME}/jre/lib/security/cacerts -protected 2> /dev/null|grep -E "Alias name*|Valid from*" | grep obs | cut -d ':' -f 2 | awk '$1=$1')

    jdk_cacert="${JAVA_HOME}/jre/lib/security/cacerts"

    keytool -delete -alias ${obs_url} -keystore ${jdk_cacert} -storepass changeit

  3. 执行以下命令,确认OBS证书已不存在,若仍存在,则继续执行2

    keytool -v -list -keystore ${JAVA_HOME}/jre/lib/security/cacerts -protected 2> /dev/null|grep -E "Alias name*|Valid from*" | grep obs

相关文档