操作場景

HA證書用于主備進程與高可用進程的通信過程中加密數據，實現安全通信。該任務指導用戶為MRS Manager完成主備管理節點的HA證書替換工作，以確保產品安全使用。

證書文件和密鑰文件可由用戶生成。

對系統的影響

更換過程中MRS Manager需要重啟，此時系統無法訪問且無法提供服務。

前提條件

獲取需要更換的HA根證書文件“root-ca.crt”和密鑰文件“root-ca.pem”。

• 準備一個訪問密鑰文件的密碼password，例如“Userpwd@123”用于訪問密鑰文件。
• 密碼復雜度要求如下，如果密碼復雜度不滿足如下要求，可能存在安全風險。
• 密碼字符長度至少為8個字符。
• 至少需要包含大寫字母、小寫字母、數字、特殊字符~`!?,.:;-_'(){}[]/<>@#$%^&*+|=中的4種類型字符。

操作步驟

登錄主管理節點。

1. 執行以下命令切換用戶：

sudo su - root

su -omm

2. 執行以下命令在主管理節點“${OMS_RUN_PATH}/workspace0/ha/local/cert”目錄生成“root-ca.crt”和“root-ca.pem”：

sh${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca--country= country --state= state --city= city --company= company --organize= organize --common-name= commonname **--email=**管理員郵箱 --password= password

例如，執行以下命令：

sh${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca--country=CN --state=gd --city=sz --company=xx --organize=IT--common-name=HADOOP.COM --email=abc@xx.1com --password=Userpwd@123**

提示以下信息表示命令執行成功：

Generate root-ca pair success.

3. 在主管理節點以“omm”用戶執行以下命令，復制“root-ca.crt”和“root-ca.pem”到“${BIGDATA_HOME}/om-0.0.1/security/certHA”目錄。

cp-arp ${OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.

${BIGDATA_HOME}/om-0.0.1/security/certHA*

4. 使用“omm”用戶將主管理節點生成的“root-ca.crt”和“root-ca.pem”復制到備管理節點“${BIGDATA_HOME}/om-0.0.1/security/certHA”目錄。
5. 執行以下命令，生成HA用戶證書并自動替換。

sh${BIGDATA_HOME}/om-0.0.1/sbin/replacehaSSLCert.sh

根據提示信息輸入password，并按回車鍵確認。

Please input ha ssl cert password:

界面提示以下信息表示HA用戶證書替換成功：

[INFO] Succeed to replace ha ssl cert.

6. 執行以下命令，重啟OMS。

sh${BIGDATA_HOME}/om-0.0.1/sbin/restart-oms.sh

界面提示以下信息：

start HA successfully.

7. 登錄備管理節點并切換到omm用戶，重復步驟6-步驟7。

執行 sh ${BIGDATA_HOME}/om-0.0.1/sbin/status-oms.sh ，查看管理節點的“HAAllResOK”是否為“Normal”，并可以重新訪問MRS Manager表示操作成功。