更新时间:2022-10-10 GMT+08:00
分享

更换HA证书

操作场景

HA证书用于主备进程与高可用进程的通信过程中加密数据,实现安全通信。该任务指导集群用户通过FusionInsight Manager完成主备管理节点的HA证书替换工作,以确保产品安全使用。适用于以下场景:

  • 首次安装好集群以后,需要更换企业证书。
  • 企业证书有效时间已过期或安全性加强,需要更换为新的证书。

不适用于未安装主备管理节点的场景。

证书文件和密钥文件可向企业证书中心申请或由集群用户生成。

对系统的影响

更换过程中FusionInsight Manager需要重启,此时系统无法访问且无法提供服务。

前提条件

  • 获取需要更换的HA根证书文件“root-ca.crt”和密钥文件“root-ca.pem”。
  • 准备一个访问密钥文件的密码password,例如“Userpwd@123”用于访问密钥文件。

    密码复杂度要求如下,如果密码复杂度不满足如下要求,可能存在安全风险:

    • 密码字符长度最小为8位。
    • 至少需要包含大写字母、小写字母、数字、特殊字符~`!?,.;-_'(){}[]/<>@#$%^&*+|\=中的4种类型字符
  • 向证书中心申请证书时,请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件,以及key和pem格式密钥文件。申请的证书需要有签发功能。

操作步骤

  1. omm用户通过主管理节点IP登录主管理节点。
  2. 选择证书和密钥文件的生成方式:

    • 若由证书中心生成,请在主备管理节点“${OMS_RUN_PATH}/workspace0/ha/local/cert”目录保存申请的证书文件与密钥文件。

      若获取的证书文件格式不是“.crt”,密钥文件格式不是“.pem”,执行以下命令修改:

      mv 证书名称.证书格式 root-ca.crt

      mv 密钥名称.密钥格式 root-ca.pem

      例如,将证书文件命名为“root-ca.crt”,密钥文件命名为“root-ca.pem”:

      mv server.cer root-ca.crt

      mv server_key.key root-ca.pem

    • 若由集群用户生成,执行以下命令在主管理节点“${OMS_RUN_PATH}/workspace0/ha/local/cert”目录生成“root-ca.crt”和“root-ca.pem”:

      sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=state --city=city --company=company --organize=organize --common-name=commonname --email=集群用户邮箱

      生成的证书文件有效期为10年,在系统证书文件即将过期时,系统将产生告警“ALM-12055 证书文件即将过期”。

      例如,执行以下命令:

      sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=guangdong --city=shenzhen --company=huawei --organize=IT --common-name=HADOOP.COM --email=abc@xxx.com

      根据提示信息输入password,并按回车键确认。

      Enter pass phrase for /opt/huawei/Bigdata/om-server/OMS/workspace/ha/local/cert/root-ca.pem:

      提示以下信息表示命令执行成功:

      Generate root-ca pair success.

  3. 在主管理节点以omm用户执行以下命令,复制“root-ca.crt”和“root-ca.pem”到“${BIGDATA_HOME}/om-server/om/security/certHA”目录。

    cp -arp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* ${BIGDATA_HOME}/om-server/om/security/certHA

  4. 使用omm用户将主管理节点生成的“root-ca.crt”和“root-ca.pem”复制到备管理节点“${BIGDATA_HOME}/om-server/om/security/certHA”目录。

    scp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* omm@备管理节点IP:${BIGDATA_HOME}/om-server/om/security/certHA

  5. 执行以下命令,生成HA用户证书并自动替换。

    sh ${BIGDATA_HOME}/om-server/om/sbin/replacehaSSLCert.sh

    根据提示信息输入password,并按回车键确认。

    Please input ha ssl cert password:

    界面提示以下信息表示HA用户证书替换成功:

    [INFO] Succeed to replace ha ssl cert.

    如果用户需要更新HA密码加密套件,可以带-u参数。

  6. 执行以下命令,重启OMS。

    sh ${BIGDATA_HOME}/om-server/om/sbin/restart-oms.sh

    界面提示以下信息:

    start HA successfully.

  7. omm用户通过备管理节点IP登录备管理节点,重复56

    执行sh ${BIGDATA_HOME}/om-server/om/sbin/status-oms.sh,查看管理节点的“HAAllResOK”是否为“Normal”,并可以重新登录FusionInsight Manager表示操作成功。

分享:

    相关文档

    相关产品