操作場景

HA證書用于主備進程與高可用進程的通信過程中加密數據，實現安全通信。該任務指導系統管理員FusionInsight Manager完成主備管理節點的HA證書替換工作，以確保產品安全使用。適用于以下場景：

• 首次安裝好集群以后，需要更換企業證書。
• 企業證書有效時間已過期或安全性加強，需要更換為新的證書。

                
說明
                
不適用于未安裝主備管理節點的場景。
證書文件和密鑰文件可向企業證書管理員申請或由系統管理員生成。
              

對系統的影響

更換過程中FusionInsight Manager需要重啟，此時系統無法訪問且無法提供服務。

前提條件

• 獲取需要更換的HA根證書文件“root-ca.crt”和密鑰文件“root-ca.pem”。
• 準備一個訪問密鑰文件的密碼 password ，例如“Userpwd@123”用于訪問密鑰文件。

密碼復雜度要求如下，如果密碼復雜度不滿足如下要求，可能存在安全風險：

? 密碼字符長度最小為8位。

? 至少需要包含大寫字母、小寫字母、數字、特殊字符~`!?,.;-_'(){}[]/<>@#$%^&*+|=中的4種類型字符

• 向證書管理員申請證書時，請提供訪問密鑰文件的密碼并申請crt、cer、cert和pem格式證書文件，以及key和pem格式密鑰文件。申請的證書需要有簽發功能。

操作步驟

1.以omm用戶通過主管理節點IP登錄主管理節點。

2.選擇證書和密鑰文件的生成方式：

• 若由證書管理員生成，請在主備管理節點“${OMS_RUN_PATH}/workspace0/ha/local/cert”目錄保存申請的證書文件與密鑰文件。

                
說明
                
若獲取的證書文件格式不是“.crt”，密鑰文件格式不是“.pem”，執行以下命令修改：
mv 證書名稱.證書格式 root-ca.crt
mv 密鑰名稱.密鑰格式 root-ca.pem
例如，將證書文件命名為“root-ca.crt”，密鑰文件命名為“root-ca.pem”：
mv server.cer root-ca.crt
mv server_key.key root-ca.pem
              

• 若由系統管理員生成，執行以下命令在主管理節點“${OMS_RUN_PATH}/workspace0/ha/local/cert”目錄生成“root-ca.crt”和“root-ca.pem”：

sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state= state  --city= city --company= company  --organize= organize  --common-name= commonname  --email= 管理員郵箱

                    
說明
                    
生成的證書文件有效期為10年，在系統證書文件即將過期時，系統將產生告警“ALM-12055 證書文件即將過期”。
例如，執行以下命令：
sh ${OMS_RUN_PATH}/workspace/ha/module/hacom/script/gen-cert.sh --root-ca --country=CN --state=guangdong --city=shenzhen --company=xxx --organize=IT --common-name=HADOOP.COM --email=abc@xxx.1com


                    
                  
                  

根據提示信息輸入 password ，并按回車鍵確認。

Enter pass phrase for /opt/xxx/Bigdata/om-server/OMS/workspace/ha/local/cert/root-ca.pem:

提示以下信息表示命令執行成功：

Generate root-ca pair success.

3.在主管理節點以omm用戶執行以下命令，復制“root-ca.crt”和“root-ca.pem”到“${BIGDATA_HOME}/om-server/om/security/certHA”目錄。

cp -arp ?{OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* OMSR?UNP?ATH/workspace0/ha/local/cert/root?ca.??{BIGDATA_HOME}/om-server/om/security/certHA

4.使用omm用戶將主管理節點生成的“root-ca.crt”和“root-ca.pem”復制到備管理節點“${BIGDATA_HOME}/om-server/om/security/certHA”目錄。

scp ? ?{OMS_RUN_PATH}OMS_RUN_PATH}/workspace0/ha/local/cert/root-ca.* omm@備管理節點IP:${BIGDATA_HOME}/om-server/om/security/certHA

5.執行以下命令，生成HA用戶證書并自動替換。

sh ${BIGDATA_HOME}/om-server/om/sbin/replacehaSSLCert.sh

根據提示信息輸入 password ，并按回車鍵確認。

Please input ha ssl cert password:

界面提示以下信息表示HA用戶證書替換成功：

[INFO] Succeed to replace ha ssl cert.

                
說明
                
如果用戶需要更新HA密碼加密套件，可以帶-u參數。
              

6.執行以下命令，重啟OMS。

sh ${BIGDATA_HOME}/om-server/om/sbin/restart-oms.sh

界面提示以下信息：

start HA successfully.

7.以omm用戶通過備管理節點IP登錄備管理節點，重復5-6。

執行

sh ${BIGDATA_HOME}/om-server/om/sbin/status-oms.sh

查看管理節點的“HAAllResOK”是否為“Normal”，并可以重新登錄FusionInsight Manager表示操作成功。