操作場景

MRS CA證書用于組件客戶端與服務端在通信過程中加密數據，實現安全通信。該任務指導系統管理員通過FusionInsight Manager完成CA證書替換工作，以確保產品安全使用。適用于以下場景：

• 首次安裝好集群以后，需要更換企業證書。
• 企業證書有效時間已過期或安全性加強，需要更換為新的證書。

更換CA證書以后，MRS中HDFS、Yarn、MapReduce、HBase、Loader、Hue、FTP-Server、Oozie、Hive、Tomcat、CAS、httpd和LDAP使用的證書將自動更新。

證書文件和密鑰文件可向企業證書管理員申請或由系統管理員生成。

                
說明
                
當前FusionInsight僅支持x.509格式證書導入，且必須是具有簽發能力的CA證書。
當前FusionInsight要求OS的編碼格式必須為“en_US.UTF-8”或“POSIX”，否則會造成證書功能異常。
              

對系統的影響

更換過程中MRS系統需要重啟，此時系統無法訪問且無法提供服務。

前提條件

• 獲取需要導入到MRS集群的CA證書文件（ .crt）、密鑰文件（ .key）以及保存訪問密鑰文件密碼的文件（password.property）。證書名稱和密鑰名稱支持大小寫字母和數字。
• 準備一個訪問密鑰文件的密碼例如“Userpwd@123”用于訪問密鑰文件。

密碼復雜度要求如下，如果密碼復雜度不滿足如下要求，可能存在安全風險：

? 密碼字符長度最小為8位。

? 至少需要包含大寫字母、小寫字母、數字、特殊字符~`!?,.;-_'(){}[]/<>@#$%^&*+|=中的4種類型字符。

• 向證書管理員申請證書時，請提供訪問密鑰文件的密碼并申請crt、cer、cert和pem格式證書文件，以及key和pem格式密鑰文件。申請的證書需要有簽發功能。

操作步驟

1.以omm用戶登錄集群任意管理節點。

2.選擇證書和密鑰文件的生成方式：

• 若由證書管理員生成，請在管理節點omm用戶目錄保存申請的證書文件與密鑰文件。

                
說明
                
若獲取的證書文件格式不是“.crt”，密鑰文件格式不是“.key”，執行以下命令修改：
mv?證書名稱.證書格式 證書名稱?.crt
mv?密鑰名稱.密鑰格式 密鑰名稱?.key
例如，將證書文件命名為“ca.crt”，密鑰文件命名為“ca.key”：
mv server.cer ca.crt
mv server_key.pem ca.key
若由系統管理員生成，執行以下命令在管理節點omm用戶目錄生成證書文件和密鑰文件：
              

a. 生成密鑰文件：

openssl genrsa -out 密鑰名稱 .key -aes256 2048 -sha256

                
說明
                
對于SUSE 15、Centos7.6和EulerOS 2.8系統，需使用如下命令生成密鑰文件：
openssl genrsa -out 密鑰名稱.key -aes256 2048
例如，生成密鑰文件“ca.key”：
openssl genrsa -out ca.key -aes256 2048 -sha256
根據提示信息連續輸入兩次password，并按回車鍵確認。
Enter pass phrase for ca.key: 
 Verifying - Enter pass phrase for ca.key:
              

b. 生成證書文件：

openssl req -new -x509 -days 1825 -key 密鑰名稱 .key -out 證書名稱 .crt -subj "/C=cn/ST=guangdong/L=shenzhen/O=xxx/OU=xxx/CN=xxx" -sha256

例如，生成證書文件“ca.crt”：

openssl req -new -x509 -days 1825 -key ca.key -out ca.crt -subj "/C=cn/ST=guangdong/L=shenzhen/O=xxx/OU=xxx/CN=xxx" -sha256

根據提示信息輸入密鑰文件的密碼 password ，并按回車鍵確認。

Enter pass phrase for ca.key:

3.執行以下命令在管理節點omm用戶目錄保存訪問密鑰文件的密碼。

sh ${BIGDATA_HOME}/om-server/om/sbin/genPwFile.sh

根據提示信息連續輸入兩次 password ，并按回車鍵確認。password加密后保存在“password.property”。

Please input key password:

Please Confirm password:

                
說明
                
在登錄節點生成的“password.property”文件只適用于當前節點所屬的集群，不能用于其他集群。
              

4.執行以下命令打包三個文件為tar壓縮包，并保存在本地。

tar -cvf 壓縮包名證書名稱 .crt 密鑰名稱 .key password.property

例如，tar -cvf test.tar ca.crt ca.key password.property

5.登錄FusionInsight Manager系統，選擇“系統 > 證書”。

6.在“上傳證書”區域單擊文件選擇按鈕，在文件窗口中瀏覽已獲取的證書文件tar壓縮包并打開壓縮包文件，單擊“上傳文件”，系統將自動完成導入。

7.導入完成后提示同步集群配置并重啟WEB服務使新證書生效，單擊“確定”。

8.在彈出的管理員確認窗口輸入密碼，單擊“確定”自動同步集群配置并重啟WEB服務。

9.重啟完成后在瀏覽器地址欄中，輸入并訪問FusionInsight Manager的網絡地址，驗證能否正常打開頁面。

                
說明
                
企業證書有效時間已過期或安全性加強，MRS更換為新的證書后，請同步更換本地證書。
              

10.在“集群”下拉列表中單擊需要操作的集群名稱。

11.選擇“更多 > 重啟”，在彈出窗口中輸入當前登錄的用戶密碼確認身份，然后單擊“確定”。

                
說明
                
更換CA證書后，需離線重啟集群使證書生效，不支持滾動重啟。
              

12.在確認重啟集群的對話框中單擊“確定”。