所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

eSight V300R009C00 维护指南 11

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
更新业务安全证书

更新业务安全证书

更新eSight的预置PKI证书

本文主要介绍替换eSight预置的PKI证书的方法。

前提条件

已向CA(Certificate Authority)机构申请新的数字证书。这些证书包括:

  • 数字证书:esight.cer
  • 数字证书私钥:esight.key
  • 根CA证书:rootca.cer
  • (可选)中间CA证书:internalca.cer

    您可能有多个中间CA证书。

证书相关内容说明:

  • 从权威CA机构申请到的证书名称可能和上述证书名称不同,请把获取到的证书名称更改为上述对应名称。
  • 本文中假设SUSE Linux上的eSight安装目录为/opt/eSight,Microsoft Windows上的eSight安装目录为D:\eSight。
  • 如果您的证书是DER编码的,您需要将其转换为BASE64编码以方便操作。以demo.cer为例:
    1. SUSE Linux系统中,执行:

      > openssl x509 -inform DER -in demo.cer -outform PEM -out demo.cer

    1. Microsoft Windows系统中,执行:

      > D:\eSight\AppBase\tools\jks2pfx\openssl.exe -inform DER -in demo.cer -outform PEM -out demo.cer

操作步骤

SUSE Linux 操作系统

高可用性系统场景下,需要依次更新主用、备用服务器上的证书。

  1. ossuser用户通过ssh方式登录eSight服务器。
  2. 停止eSight服务;
    • Veritas高可用性系统场景下,使NMSServer资源离线,请参见使资源离线
    • OMMHA高可用性系统场景下,请参见停止eSight
  3. 将证书文件上传到工作目录。
    1. 以用户目录为/ossuser为例,执行如下命令,创建证书存放目录:

      > mkdir /ossuser/certificate

    2. 将新申请到的新证书上传到创建的证书存放目录certificate下;
    3. 备份现有的证书。

      执行如下命令备份现有证书:

      > mkdir /opt/eSight/backup

      > cd /opt/eSight/backup

      > cp /opt/eSight/AppBase/etc/certificate/application/ca/caTrustStore.jks .

      > cp /opt/eSight/AppBase/etc/certificate/application/node/nodeKeyStore.jks .

  4. 制作“.p12”格式的证书文件。

    如果您的数字证书esight.cer拥有中间CA证书,您需要将中间CA证书以及根CA证书导入到esight.cer中。方法如下,以根CA证书为rootca.cer,中间CA证书为internalca.cer为例,按顺序执行如下命令:

    > cd ~/certificate

    > mv esight.cer esight.crt

    > awk '{print}' internalca.cer rootca.cer > ca.cer

    > awk '{print}' esight.crt ca.cer > esight.cer

    > rm ca.cer

    执行如下命令,使用“esight.cer”证书和“esight.key”私钥,制作格式为“PKCS12”的证书“esight.p12”。

    > cd ~/certificate

    > openssl pkcs12 -export -clcerts -in esight.cer -inkey esight.key -out esight.p12

    Enter pass phrase for esight.key: 私钥esight.key密码
    Enter Export Password: 请设置eSight.p12的密码
    Verifying - Enter Export Password: 确认esight.p12的密码

    请使用如下密码策略:密码由数字0~9、小写字母a~z、大写字母A~Z和@%-=_.]{}特殊字符组成,长度为8位~30位。

  5. 制作密钥库文件,并检查文件的正确性及完整性。
    1. 制作nodeKeyStore.jks密钥库文件。

      执行下列命令,使用keytool工具将“esight.p12”证书导入“nodeKeyStore.jks” 中:

      > cd ~/certificate

      > /opt/eSight/AppBase/jre/bin/keytool -importkeystore -destalias server -destkeystore nodeKeyStore.jks -deststoretype PKCS12 -srckeystore esight.p12 -srcstoretype PKCS12 -alias 1

      Importing keystore esight.p12 to nodeKeyStore.jks...
      Enter destination keystore password:请设置密钥库nodeKeyStore.jks的密码
      Re-enter new password:确认密钥库nodeKeyStore.jks的密码
      Enter source keystore password:输入esight.p12的密码
    2. 制作caTrustStore.jks信任库文件。

      > cd ~/certificate

      > /opt/eSight/AppBase/jre/bin/keytool -import -alias nodeca -keystore caTrustStore.jks -file rootca.cer

      Enter keystore password: 设置caTrustStore.jks的密码
      Re-enter new password: 确认caTrustStore.jks的密码
      Trust this certificate? [no]:  yes
    3. 向caTrustStore.jks导入原有的CA证书。

      以导入eSight位于/opt/eSight/AppBase/etc/certificate/application/ca目录下的自签名CA证书ca.crt为例:

      > cd ~/certificate

      > /opt/eSight/AppBase/jre/bin/keytool -import -alias rootca -keystore caTrustStore.jks -file /opt/eSight/AppBase/etc/certificate/application/ca/ca.crt

      Enter keystore password: 输入caTrustStore.jks的密码
      Trust this certificate? [no]:  yes

      系统回显如下信息时,说明CA证书文件导入完成:

      Certificate was added to keystore

      如果您曾经导入过其他CA证书,则需要仿照上述方式重新导入。

  6. 对密钥库文件和信任库文件的密码进行加密,并记录加密后的密文。

    对制作完成的eSight密钥库文件和信任库文件的密码进行加密,并记录加密后的密文。

    1. 生成密钥的BME密钥字符串。

      > /opt/eSight/AppBase/tools/bmetool/encrypt/encrypt.sh 0

      Please input the password:输入密钥库文件或信任库文件的密码
      Please input the password again:再次输入密钥库文件或信任库文件的密码

      系统回显类似如下信息,即为加密后的BME密钥字符串

      @0102000000000673dfaad951eb019ecbe9284ea64df360306f7f3c915f165dfec43b8714ed08
    2. 生成密钥的AES密钥字符串。

      > /opt/eSight/AppBase/tools/aestool e

      Enter password: 输入密钥库文件或信任库文件的密码
      Enter password again: 再次输入密钥库文件或信任库文件的密码

      系统回显类似如下信息,即为加密后的AES密钥字符串

      74e2b500af0456bbe4e185cec2aa3ba60d25d66be80a802b3451f41257272e08
  7. 将密钥库文件放置到特定的目录。
    1. 将生成的nodeKeyStore.jks放置到特定的目录

      > cd ~/certificate

      > cp nodeKeyStore.jks /opt/eSight/AppBase/etc/certificate/application/node/

      > cp nodeKeyStore.jks /opt/eSight/mttools/etc/certificate/application/node/

    2. 将生成的caTrustStore.jks放置到特定的目录。

      > cd ~/certificate

      > cp caTrustStore.jks /opt/eSight/AppBase/etc/certificate/application/ca/

      > cp caTrustStore.jks /opt/eSight/mttools/etc/certificate/application/ca/

  8. 更新配置文件中的密文字符串。

    您需要修改如下配置文件,将黑体部分修改为对应的密文字符串值。下列文件路径是相对/opt/eSight而言的。

    在修改xml文件时,建议您使用如下方式,注释原内容以备份:

    <!-- <param name="字段名">原来的密钥字符串</param> -->
    <param name="字段名">现在的密钥字符串</param>

    在修改properties文件前,建议您备份该文件。

    1. AppBase/sysagent/etc/sysconf/svcbase/med_node_1_svc.xml
      <!--the SSL keyStore file name -->
      <param name="keyStoreFile">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!--the SSL keystore password which is encrypted -->
      <param name="keyStorePassword">nodeKeyStore.jks的BME密钥字符串</param>
      <!--the SSL trustStroe file name -->
      <param name="trustStoreFile">etc/certificate/application/ca/caTrustStore.jks</param>
      <!--the SSL trustStore password which is encrypted -->
      <param name="trustStorePassword">caTrustStore.jks的BME密钥字符串</param>
    2. AppBase/sysagent/etc/sysconf/svcbase/Mediation_1_svc.xml
      <!--the SSL keyStore file name-->
      <param name="keyStoreFile">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!--the SSL keystore password which is encrypted-->
      <param name="keyStorePassword">nodeKeyStore.jks的BME密钥字符串</param>
      <!--the SSL trustStroe file name-->
      <param name="trustStoreFile">etc/certificate/application/ca/caTrustStore.jks</param>
      <!--the SSL trustStore password which is encrypted-->
      <param name="trustStorePassword">caTrustStore.jks的BME密钥字符串</param>
    3. AppBase/etc/oms.ros/ros.xml
      <connector name="openapiROAConnector" type="https">
      <property name="ip" value="127.0.0.1" />
      <property name="port" value="32102" />
      <property name="ssl.keystore.path" value="etc/certificate/application/node/nodeKeyStore.jks" />
      <property name="ssl.keystore.password" value="nodeKeyStore.jks的BME密钥字符串" />
      </connector>
      <connector name="roaIntegrateROAConnector" type="https">
      <property name="ip" value="127.0.0.1" />
      <property name="port" value="32103" />
      <property name="ssl.keystore.path" value="etc/certificate/application/node/nodeKeyStore.jks" />
      <property name="ssl.keystore.password" value="nodeKeyStore.jks的BME密钥字符串" />
      </connector>
    4. AppBase/etc/oms.sm/sm.xml
      <config name="openAPiConfigInfo">
      <param name="openAPiTerminal">本机IP地址</param>
      <param name="openAPiPort">32102</param>
      <param name="keystore">etc/certificate/application/node/nodeKeyStore.jks</param>
      <param name="keystoreValue">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
      
      <config name="IEMPCerts">
      <!-- relative to iEMP/iEMP -->
      <param name="truststore">etc/certificate/application/ca/caTrustStore.jks</param>
      <param name="truststorepwd">caTrustStore.jks的BME密钥字符串</param>
      </config>
    5. AppBase/etc/oms.sso/sso.properties
      sso.truststore.path=etc/certificate/application/ca/caTrustStore.jks
      sso.password=caTrustStore.jks的BME密钥字符串
    6. AppBase/etc/cert.conf/certificateGlobalConf.xml
      <!-- system trust certificates -->
      <config name="trust">
      <!-- store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/ca/caTrustStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">caTrustStore.jks的BME密钥字符串</param>
      </config>
      <!-- internode certificates -->
      <config name="internodeClient">
      <!-- trust store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
      <config name="internodeServer">
      <!-- trust store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
    7. mttools/etc/cert.conf/certificateGlobalConf.xml
      <!-- system trust certificates -->
      <config name="trust">
      <!-- store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/ca/caTrustStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">caTrustStore.jks的BME密钥字符串</param>
      </config>
      <!-- internode certificates -->
      <config name="internodeClient">
      <!-- trust store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
      <config name="internodeServer">
      <!-- trust store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
  9. 更新组件配置文件中的密钥字符串。

    如果以下文件存在,则您还需要修改这些配置文件中的密钥字符串:

    AppBase/etc/ent.pnpmgr/soucechannelserver.roa.inst.xml

    <property name="ssl.keystore.path"
    value="etc/certificate/application/node/nodeKeyStore.jks" />
    <property name="ssl.keystore.password"
    value="nodeKeyStore.jks的BME密钥字符串" />
  10. 高可用性系统场景下,备用服务器继续执行步骤3-9完成后续操作。

    Veritas高可用性系统场景下,执行完主用服务器操作,切换到备用服务器操作时需要进行倒换服务,请参见手工切换主备服务器。倒换后备用服务器会自动启动,请参见使资源离线使NMSServer资源离线,离线后再执行本步骤。

  11. 启动eSight。
    • Veritas高可用性系统场景下,使NMSServer资源在线,请参见使资源在线
    • OMMHA高可用性系统场景下,请参见启动eSight

Microsoft Windows 操作系统

  1. ossuser用户登录eSight服务器。
  2. 将证书上传到工作目录。
    1. 停止eSight;
    2. 以D:\分区有足够的剩余空间为例,在D:\分区创建文件夹 certificate,将新申请到的新证书放置到该目录下;
    3. 备份现有的证书。

      以eSight安装目录为D:\eSight为例,创建文件夹D:\eSight\backup,将如下位置的文件放置到该目录下:

      D:\eSight\AppBase\etc\certificate\application\ca\caTrustStore.jks

      D:\eSight\AppBase\etc\certificate\application\node\nodeKeyStore.jks

  3. 制作“.p12”格式的证书文件。

    如果您的数字证书esight.cer拥有中间CA证书,您需要将中间CA证书和根CA证书导入到esight.cer中。方法如下,以根CA证书为rootca.cer,中间CA证书为internalca.cer为例,按顺序执行如下操作:

    1. 将esight.cer,复制为esight.crt;
    2. 使用记事本,打开esight.cer,在文件末尾另起一行;
    3. 使用记事本,打开internalca.cer,复制所有内容,粘贴到esight.cer文件的末尾;在文件末尾另起一行;
    4. 使用记事本,打开rootca.cer,复制所有内容,粘贴到esight.cer文件的末尾;
    5. 保存esight.cer。

    在D:\certificate文件夹的空白处左键单击,然后按住键盘上的Shift键,右键单击,在弹出的右键菜单中选择“在此处打开命令窗口”。

    执行如下命令,使用“esight.cer”证书和“esight.key”私钥,制作格式为“PKCS12”的证书转储文件“esight.p12”。

    > D:\eSight\AppBase\tools\jks2pfx\openssl.exe pkcs12 -export -clcerts -in esight.cer -inkey esight.key -out esight.p12

    Enter pass phrase for esight.key: 私钥esight.key密码
    Enter Export Password: 请设置eSight.p12的密码
    Verifying - Enter Export Password: 确认esight.p12的密码

    请注意使用如下密码策略:密码由数字0~9、小写字母a~z、大写字母A~Z和@%-=_.]{}特殊字符组成,长度为8位~30位。

  4. 制作密钥库文件,并检查文件的正确性及完整性。

    在D:\certificate文件夹的空白处左键单击,然后按住键盘上的Shift键,右键单击,在弹出的右键菜单中选择“在此处打开命令窗口”。

    1. 制作nodeKeyStore.jks密钥库文件

      执行下列命令,使用keytool工具将“esight.p12”证书导入“nodeKeyStore.jks” 中:

      > D:\eSight\AppBase\jre\bin\keytool.exe -importkeystore -destalias server -destkeystore nodeKeyStore.jks -deststoretype PKCS12 -srckeystore esight.p12 -srcstoretype PKCS12 -alias 1

      Importing keystore esight.p12 to nodeKeyStore.jks...
      Enter destination keystore password:请设置密钥库nodeKeyStore.jks的密码
      Re-enter new password:确认密钥库nodeKeyStore.jks的密码
      Enter source keystore password:输入esight.p12的密码
    2. 制作caTrustStore.jks信任库文件

      > D:\eSight\AppBase\jre\bin\keytool.exe -import -alias nodeca -keystore caTrustStore.jks -file rootca.cer

      Enter keystore password: 设置caTrustStore.jks的密码
      Re-enter new password: 确认caTrustStore.jks的密码
      Trust this certificate? [no]:  yes
    3. 向caTrustStore.jks导入CA证书

      以导入eSight位于D:\eSight\AppBase\etc\certificate\application\ca目录下的自签名CA证书ca.crt为例,

      > D:\eSight\AppBase\jre\bin\keytool.exe -import -alias rootca -keystore caTrustStore.jks -file D:\eSight\AppBase\etc\certificate\application\ca\ca.crt

      Enter keystore password: 输入caTrustStore.jks的密码
      Trust this certificate? [no]:  yes

      系统回显如下信息时,说明CA证书文件导入完成:

      Certificate was added to keystore

      如果您曾经导入过其他CA证书,则需要仿照上述方式重新导入。

  5. 对密钥库文件和信任库文件的密码进行加密,并记录加密后的密文。

    对制作完成的eSight密钥库文件和信任库文件的密码进行加密,并记录加密后的密文。

    1. 生成密钥的BME加密字符串。

      > D:\eSight\AppBase\tools\bmetool\encrypt\encrypt.bat 0

      Please input the password:输入密钥库文件或信任库文件的密码
      Please input the password again:再次输入密钥库文件或信任库文件的密码

      系统回显类似如下信息,即为加密后的密文。

      @0102000000000673dfaad951eb019ecbe9284ea64df360306f7f3c915f165dfec43b8714ed08
    2. 生成密钥的AES加密字符串。

      > D:\eSight\AppBase\tools\aestool.exe e

      Enter password: 输入密钥库文件或信任库文件的密码
      Enter password again: 再次输入密钥库文件或信任库文件的密码

      系统回显类似如下信息,即为加密后的密文。

      74e2b500af0456bbe4e185cec2aa3ba60d25d66be80a802b3451f41257272e08
  6. 将密钥库文件放置到特定的目录。
    1. 将生成的nodeKeyStore.jks放置到如下目录,覆盖现有文件:

      D:\eSight\AppBase\etc\certificate\application\node

      D:\eSight\mttools\etc\certificate\application\node

    2. 将生成的caTrustStore.jks放置到如下目录,覆盖现有文件:

      D:\eSight\AppBase\etc\certificate\application\ca

      D:\eSight\mttools\etc\certificate\application\ca

  7. 更新配置文件中的密文字符串。

    您需要修改如下配置文件,将黑体部分修改为对应的密文字符串值。下列文件路径是相对D:\eSight而言的。

    在修改xml文件时,建议您使用如下格式,注释原内容以备份:

    <!-- <param name="字段名">原来的密钥字符串</param> -->
    <param name="字段名">现在的密钥字符串</param>

    在修改properties文件前,建议您备份该文件。

    1. AppBase\sysagent\etc\sysconf\svcbase\med_node_1_svc.xml
      <!--the SSL keyStore file name -->
      <param name="keyStoreFile">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!--the SSL keystore password which is encrypted -->
      <param name="keyStorePassword">nodeKeyStore.jks的BME密钥字符串</param>
      <!--the SSL trustStroe file name -->
      <param name="trustStoreFile">etc/certificate/application/ca/caTrustStore.jks</param>
      <!--the SSL trustStore password which is encrypted -->
      <param name="trustStorePassword">caTrustStore.jks的BME密钥字符串</param>
    2. AppBase\sysagent\etc\sysconf\svcbase\Mediation_1_svc.xml
      <!--the SSL keyStore file name-->
      <param name="keyStoreFile">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!--the SSL keystore password which is encrypted-->
      <param name="keyStorePassword">nodeKeyStore.jks的BME密钥字符串</param>
      <!--the SSL trustStroe file name-->
      <param name="trustStoreFile">etc/certificate/application/ca/caTrustStore.jks</param>
      <!--the SSL trustStore password which is encrypted-->
      <param name="trustStorePassword">caTrustStore.jks的BME密钥字符串</param>
    3. AppBase\etc\oms.ros\ros.xml
      <connector name="openapiROAConnector" type="https">
      <property name="ip" value="127.0.0.1" />
      <property name="port" value="32102" />
      <property name="ssl.keystore.path" value="etc/certificate/application/node/nodeKeyStore.jks" />
      <property name="ssl.keystore.password" value="nodeKeyStore.jks的BME密钥字符串" />
      </connector>
      
      <connector name="roaIntegrateROAConnector" type="https">
      <property name="ip" value="127.0.0.1" />
      <property name="port" value="32103" />
      <property name="ssl.keystore.path" value="etc/certificate/application/node/nodeKeyStore.jks" />
      <property name="ssl.keystore.password" value="nodeKeyStore.jks的BME密钥字符串" />
      </connector>
    4. AppBase\etc\oms.sm\sm.xml
      <config name="openAPiConfigInfo">
      <param name="openAPiTerminal">本机IP地址</param>
      <param name="openAPiPort">32102</param>
      <param name="keystore">etc/certificate/application/node/nodeKeyStore.jks</param>
      <param name="keystoreValue">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
      
      <config name="IEMPCerts">
      <!-- relative to iEMP/iEMP -->
      <param name="truststore">etc/certificate/application/ca/caTrustStore.jks</param>
      <param name="truststorepwd">caTrustStore.jks的BME密钥字符串</param>
      </config>
    5. AppBase\etc\oms.sso\sso.properties
      sso.truststore.path=etc/certificate/application/ca/caTrustStore.jks
      sso.password=caTrustStore.jks的BME密钥字符串
    6. AppBase\etc\cert.conf\certificateGlobalConf.xml
      <!-- system trust certificates -->
      <config name="trust">
      <!-- store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/ca/caTrustStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">caTrustStore.jks的BME密钥字符串</param>
      </config>
      <!-- internode certificates -->
      <config name="internodeClient">
      <!-- trust store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
      <config name="internodeServer">
      <!-- trust store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
    7. mttools\etc\cert.conf\certificateGlobalConf.xml
      <!-- system trust certificates -->
      <config name="trust">
      <!-- store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/ca/caTrustStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">caTrustStore.jks的BME密钥字符串</param>
      </config>
      <!-- internode certificates -->
      <config name="internodeClient">
      <!-- trust store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
      <config name="internodeServer">
      <!-- trust store type -->
      <param name="storetype">jks</param>
      <!-- store path -->
      <param name="storepath">etc/certificate/application/node/nodeKeyStore.jks</param>
      <!-- encrypted store pass -->
      <param name="storepass">nodeKeyStore.jks的BME密钥字符串</param>
      </config>
  8. 更新组件配置文件中的密钥字符串

    如果以下文件存在,则您还需要修改这些配置文件中的密钥字符串:

    AppBase\etc\ent.pnpmgr\soucechannelserver.roa.inst.xml

    <property name="ssl.keystore.path"
    value="etc/certificate/application/node/nodeKeyStore.jks" />
    <property name="ssl.keystore.password"
    value="nodeKeyStore.jks的BME密钥字符串" />

后续处理

若替换证书过程出错,或者不满意当前证书时,请执行以下两步进行还原。还原前,请停止eSight。

  1. 还原证书。

    • SUSE Linux操作系统

      执行以下命令,还原默认证书:

      >cd /opt/eSight/backup

      >cp caTrustStore.jks /opt/eSight/AppBase/etc/certificate/application/ca

      >cp caTrustStore.jks /opt/eSight/mttools/etc/certificate/application/ca

      >cp nodeKeyStore.jks /opt/eSight/AppBase/etc/certificate/application/node

      >cp nodeKeyStore.jks /opt/eSight/mttools/etc/certificate/application/node

    • Microsoft Windows 操作系统

      将D:\eSight\backup下的caTrustStore.jks,分别复制到如下两个目录:

      D:\eSight\AppBase\etc\certificate\application\ca

      D:\eSight\mttools\etc\certificate\application\ca

      将D:\eSight\backup下的nodeKeyStore.jks,分别复制到如下两个目录:

      D:\eSight\AppBase\etc\certificate\application\node

      D:\eSight\mttools\etc\certificate\application\node

  2. 回退修改的配置文件。

    将下列修改后的xml文件和properties文件中的内容,还原为之前的内容。

    • SUSE Linux 操作系统

      /opt/eSight/AppBase/sysagent/etc/sysconf/svcbase/med_node_1_svc.xml

      /opt/eSight/AppBase/sysagent/etc/sysconf/svcbase/Mediation_1_svc.xml

      /opt/eSight/AppBase/etc/oms.ros/ros.xml

      /opt/eSight/AppBase/etc/oms.sm/sm.xml

      /opt/eSight/AppBase/etc/oms.sso/sso.properties

      /opt/eSight/AppBase/etc/cert.conf/certificateGlobalConf.xml

      /opt/eSight/mttools/etc/cert.conf/certificateGlobalConf.xml

      /opt/eSight/AppBase/etc/ent.pnpmgr/soucechannelserver.roa.inst.xml

    • Microsoft Windows 操作系统

      D:\eSight\AppBase\sysagent\etc\sysconf\svcbase\med_node_1_svc.xml

      D:\eSight\AppBase\sysagent\etc\sysconf\svcbase\Mediation_1_svc.xml

      D:\eSight\AppBase\etc\oms.ros\ros.xml

      D:\eSight\AppBase\etc\oms.sm\sm.xml

      D:\eSight\AppBase\etc\oms.sso\sso.properties

      D:\eSight\AppBase\etc\cert.conf\certificateGlobalConf.xml

      D:\eSight\mttools\etc\cert.conf\certificateGlobalConf.xml

      D:\eSight\AppBase\etc\ent.pnpmgr\soucechannelserver.roa.inst.xml

更新协作证书

介绍如何更新协作证书。

更新eSight与终端通信的证书

如果使用eSight自带的证书文件,可能导致信息安全风险。建议您更新成自己的证书,保证信息安全。

前提条件

keytool是JRE命令,使用前需安装JDK并正确配置。eSight服务器上的JDK默认已经安装并正确配置。

操作步骤

  1. 在主菜单中选择“资源 > 协作 > 协作管理 > 终端设备管理”。
  2. 在左侧导航树中选择“终端设备管理 > 系统配置”。
  3. 在“eSight证书上传”区域,设置“根证书”和“证书库”文件的路径,并输入“证书库密码”。
  4. 单击“确定”。

    完成证书导入后,您可以查看证书库中的证书或修改证书库的密码。以下密码与设备侧密码相关联。如果需要修改,请务必保证eSight和设备侧统一。

  5. 进入“ucKeyStore”文件所在目录。

    “ucKeyStore”文件存在于“eSight安装目录/AppBase/etc/certificate”目录。

    cd eSight安装目录/AppBase/etc/certificate

  6. 查看证书库中的证书。

    eSight安装目录/AppBase/jre/bin/./keytool -list -v -keystore ucKeyStore

    系统提示输入keystore密码。

  7. 输入keystore密码。

    密码缺省值为“Changeme_123”。如果证书已替换,请联系证书提供者获取密码。

    系统显示如下信息。

    Keystore 类型: JKS 
    Keystore 提供者: SUN 
     
    您的 keystore 包含 2 输入 
    ...     

  8. 可选:修改证书库密码。

    eSight安装目录/AppBase/jre/bin/./keytool -storepasswd -keystore ucKeyStore

    系统提示输入keystore密码。

  9. 可选:输入原keystore密码后根据提示输入两次新密码,按“Enter”键。
  10. 可选:修改完keystore的密码后,需要同步修改证书库中证书别名为1的证书的密码。

    eSight安装目录/AppBase/jre/bin/./keytool -keypasswd -alias 1 -keystore ucKeyStore

    系统提示输入keystore密码。

  11. 可选:输入修改后的keystore的密码,按“Enter”键。

    系统提示输入别名为1的证书的主密码。

    密码缺省值为“Changeme_123”。

  12. 可选:输入原主密码后根据提示输入两次新的主密码,按“Enter”键。

    新的主密码需要与修改后的keystore密码保持一致。

  13. 完成证书库和证书别名为1的证书的密码的修改后,需要同步修改相关配置文件。

    更新eSight和终端通信的证书:修改“eSight安装目录/AppBase/etc/iemp.framework/webserver.roa.inst.xml”中“<webserver name="ipphone">”、“<webserver name="tr069">”和“<webserver name="tr069DOUBLE">”区域的“ssl.keystore.password”的值,确保三者的值与以上所有修改的密码保持一致。通过加密工具加密密码时,请使用可逆的AES(Advanced Encryption Standard)加密算法,具体操作步骤请参见修改协作用户密码

  14. 重新启动eSight服务器。
  15. 验证更新终端证书是否成功。

    1. root用户登录eSight服务器。
    2. 查看对应的端口有没有启动成功。

      netstat -ano | grep 8444

      netstat -ano | grep 32241

      netstat -ano | grep 38444

      如果对应的命令有结果输出,表示更新终端证书成功。

更新eSight与uPortal通信的证书

如果使用eSight自带的证书文件,可能导致信息安全风险。建议您更新成自己的证书,保证信息安全。

前提条件

keytool是JRE命令,使用前需安装JDK并正确配置。eSight服务器上的JDK默认已经安装并正确配置。

操作步骤

  1. 上传所需更新终端证书的“tlsKeyStore”证书库到“certificate”目录。

    替换“certificate”目录的tlsKeyStore证书,必须与终端上对应的证书保持一致,否则导致鉴权失败。

    • SUSE操作系统

      上传证书库到“eSight安装目录/AppBase/etc/certificate/”目录下

    • Windows操作系统

      上传证书库到“eSight安装目录\AppBase\etc\certificate\”目录下

  2. 修改相关配置文件。

    修改“eSight安装目录/AppBase/etc/iemp.framework/webserver.roa.inst.xml”中“<webserver name="certificate">”区域的“ssl.keystore.password”的值与“tlsKeyStore”证书库的密码保持一致。密码请联系证书提供者获取,密码加密操作步骤请参见修改协作用户密码。通过加密工具加密密码时,请使用可逆的AES(Advanced Encryption Standard)加密算法。

    完成证书导入后,您可以查看证书库中的证书或修改证书库的密码。以下密码与设备侧密码相关联。如果需要修改,请务必保证eSight和设备侧统一。

  3. 进入“tlsKeyStore”文件所在目录。

    “tlsKeyStore”文件存在于“eSight安装目录/AppBase/etc/certificate”目录。

    cd eSight安装目录/AppBase/etc/certificate

  4. 查看证书库中的证书。

    eSight安装目录/AppBase/jre/bin/./keytool -list -v -keystore tlsKeyStore

    系统提示输入keystore密码。

  5. 输入keystore密码。

    密码缺省值为“Changeme_123”。如果证书已替换,请联系证书提供者获取密码。

    系统显示如下信息。

    Keystore 类型: JKS 
    Keystore 提供者: SUN 
     
    您的 keystore 包含 2 输入 
    ...     

  6. 可选:修改证书库密码。

    eSight安装目录/AppBase/jre/bin/./keytool -storepasswd -keystore tlsKeyStore

    系统提示输入keystore密码。

  7. 可选:输入原keystore密码后根据提示输入两次新密码,按“Enter”键。
  8. 可选:修改完keystore的密码后,需要同步修改证书库中证书别名为1的证书的密码。

    eSight安装目录/AppBase/jre/bin/./keytool -keypasswd -alias 1 -keystore tlsKeyStore

    系统提示输入keystore密码。

  9. 可选:输入修改后的keystore的密码,按“Enter”键。

    系统提示输入别名为1的证书的主密码。

    密码缺省值为“Changeme_123”。如果证书已替换,请联系证书提供者获取密码。

  10. 可选:输入原主密码后根据提示输入两次新的主密码,按“Enter”键。

    新的主密码需要与修改后的keystore密码保持一致。

  11. 完成证书库和证书别名为1的证书的密码的修改后,需要同步修改相关配置文件。

    修改“eSight安装目录/AppBase/etc/iemp.framework/webserver.roa.inst.xml”中“<webserver name="certificate">”区域的“ssl.keystore.password”的值与“tlsKeyStore”证书库的密码保持一致。密码请联系证书提供者获取,密码加密操作步骤请参见修改协作用户密码。通过加密工具加密密码时,请使用可逆的AES(Advanced Encryption Standard)加密算法。

  12. 重新启动eSight服务器。
  13. 验证更新终端证书是否成功。

    1. root用户登录eSight服务器。
    2. 查看对应的端口有没有启动成功。

      netstat -ano | grep 32234

      如果对应的命令有结果输出,表示更新终端证书成功。

更新重定向服务器与终端通信的证书

如果使用eSight自带的证书文件,可能导致信息安全风险。建议您更新成自己的证书,保证信息安全。

前提条件

keytool是JRE命令,使用前需安装JDK并正确配置。eSight服务器上的JDK默认已经安装并正确配置。

操作步骤

  1. 上传所需更新终端证书的“configserverKeyStore.jks”证书库到“certificate”目录。

    替换“certificate”目录的configserverKeyStore.jks证书,必须与终端上对应的证书保持一致,否则导致鉴权失败。

    • SUSE操作系统

      上传证书库到“eSight安装目录/AppBase/etc/certificate/”目录下

    • Windows操作系统

      上传证书库到“eSight安装目录\AppBase\etc\certificate\”目录下

  2. 修改相关配置文件。

    修改“eSight安装目录/AppBase/etc/iemp.framework/configserver.roa.inst.xml”中“<webserver name="dmserver">”区域的“ssl.keystore.password”的值与“configserverKeyStore.jks”证书库的密码保持一致。密码请联系证书提供者获取,密码加密操作步骤请参见修改协作用户密码。通过加密工具加密密码时,请使用可逆的AES(Advanced Encryption Standard)加密算法。

    完成证书导入后,您可以查看证书库中的证书或修改证书库的密码。以下密码与设备侧密码相关联。如果需要修改,请务必保证eSight和设备侧统一。

  3. 进入“configserverKeyStore.jks”文件所在目录。

    “configserverKeyStore.jks”文件存在于“eSight安装目录/AppBase/etc/certificate”目录。

    cd eSight安装目录/AppBase/etc/certificate

  4. 查看证书库中的证书。

    eSight安装目录/AppBase/jre/bin/./keytool -list -v -keystore configserverKeyStore.jks

    系统提示输入keystore密码。

  5. 输入keystore密码。

    密码缺省值为“Changeme_123”。如果证书已替换,请联系证书提供者获取密码。

    系统显示如下信息。

    Keystore 类型: JKS 
    Keystore 提供者: SUN 
     
    您的 keystore 包含 2 输入 
    ...     

  6. 可选:修改证书库密码。

    eSight安装目录/AppBase/jre/bin/./keytool -storepasswd -keystore configserverKeyStore.jks

    系统提示输入keystore密码。

  7. 可选:输入原keystore密码后根据提示输入两次新密码,按“Enter”键。
  8. 可选:修改完keystore的密码后,需要同步修改证书库中证书别名为1的证书的密码。

    eSight安装目录/AppBase/jre/bin/./keytool -keypasswd -alias 1 -keystore configserverKeyStore.jks

    系统提示输入keystore密码。

  9. 可选:输入修改后的keystore的密码,按“Enter”键。

    系统提示输入别名为1的证书的主密码。

    密码缺省值为“Changeme_123”。如果证书已替换,请联系证书提供者获取密码。

  10. 可选:输入原主密码后根据提示输入两次新的主密码,按“Enter”键。

    新的主密码需要与修改后的keystore密码保持一致。

  11. 完成证书库和证书别名为1的证书的密码的修改后,需要同步修改相关配置文件。

    修改“eSight安装目录/AppBase/etc/iemp.framework/configserver.roa.inst.xml”中“<webserver name="dmserver">”区域的“ssl.keystore.password”的值与“configserverKeyStore.jks”证书库的密码保持一致。密码请联系证书提供者获取,密码加密操作步骤请参见修改协作用户密码。通过加密工具加密密码时,请使用可逆的AES(Advanced Encryption Standard)加密算法。

  12. 重新启动eSight服务器。
  13. 验证更新终端证书是否成功。

    1. root用户登录eSight服务器。
    2. 查看对应的端口有没有启动成功。

      netstat -ano | grep 32232

      如果对应的命令有结果输出,表示更新终端证书成功。

更新eSight与SBC(SX系列)通信的证书

如果使用eSight自带的证书文件,可能存在安全风险。建议您更新成自己的证书,保证系统安全。

前提条件

已经获取SBC(SX系列)设备的身份证书,并重命名为“tr069SBC.KeyStore”。

背景信息

SUSE操作系统的操作步骤和Windows操作系统的操作步骤相似,此处以SUSE操作系统为例。

操作步骤

  1. root用户登录eSight服务器。
  2. 替换SBC(SX系列)证书。

    SBC(SX系列)证书存放路径为“eSight安装目录/AppBase/etc/certificate”。用获取的新的SBC(SX系列)设备的身份证书进行替换。

  3. 替换完成后,请同步修改“eSight安装目录/AppBase/etc/iemp.framework/webserver.roa.inst.xml”中“<webserver name="tr069SBC">”区域的“ssl.keystore.password”的值,此处值为身份证书密码的密文。 具体的操作步骤请参见修改协作用户密码
  4. 重新启动eSight服务器。
  5. 验证SBC(SX系列)证书是否成功。

    1. root用户登录eSight服务器。
    2. 查看对应的端口有没有启动成功。

      netstat -ano | grep 32237

      如果对应的命令有结果输出,表示更新SBC(SX系列)证书成功

更新IAD升级使用的FTPS证书

如果使用eSight自带的证书文件,可能存在安全风险。建议您更新成自己的证书,保证系统安全。

前提条件

  • 已经获取IAD升级使用的FTPS证书。

背景信息

SUSE操作系统的操作步骤和Windows操作系统的操作步骤相似,此处以SUSE操作系统为例。

操作步骤

  1. root用户登录eSight服务器。
  2. 将证书放置在“eSight安装目录/AppBase/etc/certificate”目录下。放置后:

    • 服务端私钥:eSight安装目录/AppBase/etc/certificate/iad.KeyStore.ftps
    • 服务端信任证书:eSight安装目录/AppBase/etc/certificate/iad.CATrustStore.ftps

      如果获取到的服务端私钥和信任证书文件名与上述不一致,请重命名文件与上述一致。

  3. 设置证书文件的访问控制权限,使得只有ossuserroot用户拥有查看、修改权限。

    1. root用户登录服务器。
    2. 执行以下命令设置ossuser用户为证书文件的属主。

      # chown ossuser:ossgroup eSight安装目录/AppBase/etc/certificate/iad.KeyStore.ftps

      # chown ossuser:ossgroup eSight安装目录/AppBase/etc/certificate/iad.CATrustStore.ftps

    3. 执行以下命令设置证书文件的访问权限为600。

      # chmod 600 eSight安装目录/AppBase/etc/certificate/iad.KeyStore.ftps

      # chmod 600 eSight安装目录/AppBase/etc/certificate/iad.CATrustStore.ftps

  4. 修改FTPS证书配置文件“eSight安装目录/AppBase//sysagent/etc/sysconf/svcbase/ent_uc_med_node_svc.xml”

    参考以下进行修改:

    <config name="ucftpServer">
    <config name="ftps">
    ......
    <param name="CAKeystoreFileName">etc/certificate/iad.KeyStore.ftps</param>
    <param name="CAPass">@010200000000f98fe2f6937545a06a9617e4927972c033611ad2111c21f4b0aeba68127a5c01</param>
    <param name="keystoreFileName">etc/certificate/iad.CATrustStore.ftps</param>
    <param name="sslPassword">@010200000000f98fe2f6937545a06a9617e4927972c033611ad2111c21f4b0aeba68127a5c01</param>
    ......
    </config>
    </config>

  5. 重新启动eSight服务器。
  6. 验证FTPS证书是否成功。

    1. root用户登录eSight服务器。
    2. 查看对应的端口有没有启动成功。

      netstat -ano | grep 14001

      如果对应的命令有结果输出,表示更新FTPS证书成功

更新智真会议证书

如果使用eSight自带的证书文件,可能存在安全风险。建议您更新成自己的证书,保证系统安全。

前提条件

已经获取智真会议的身份证书,并重命名为“uccServerKeyStore”。

背景信息

SUSE操作系统的操作步骤和Windows操作系统的操作步骤相似,此处以SUSE操作系统为例。

操作步骤

  1. root用户登录eSight服务器。
  2. 替换智真会议证书。

    智真会议证书存放路径为“eSight安装目录/AppBase/etc/certificate”。用获取的新的智真会议的身份证书进行替换。

  3. 替换完成后,请同步修改“eSight安装目录/AppBase/etc/iemp.framework/tp.webserver.roa.inst.xml”中“<webserver name="tprest">”区域的“ssl.keystore.password”的值,此处值为身份证书密码的密文。 具体的操作步骤请参见修改协作用户密码
  4. 重新启动eSight服务器。
  5. 验证更新智真会议证书是否成功。

    1. root用户登录eSight服务器。
    2. 查看对应的端口有没有启动成功。

      netstat -ano | grep 11942

      如果对应的命令有结果输出,表示更新智真会议证书成功

更新eSight与第三方视频监控系统通信的证书

如果使用eSight自带的证书文件,可能存在安全风险。建议您更新成自己的证书,保证系统安全。

前提条件

已经获取第三方视频监控系统的身份证书,并重命名为“uccivsServerKeyStore”。

背景信息

SUSE操作系统的操作步骤和Windows操作系统的操作步骤相似,此处以SUSE操作系统为例。

操作步骤

  1. root用户登录eSight服务器。
  2. 替换第三方视频监控系统证书。

    第三方视频监控系统证书存放路径为“eSight安装目录/AppBase/etc/certificate”。用获取的新的第三方视频监控系统的身份证书进行替换。

  3. 替换完成后,请同步修改“eSight安装目录/AppBase/etc/iemp.framework/tp.webserver.roa.inst.xml”中“<webserver name="ivsrest">”区域的“ssl.keystore.password”的值,此处值为身份证书密码的密文。 具体的操作步骤请参见修改协作用户密码
  4. 重新启动eSight服务器。
  5. 验证更新第三方视频监控系统证书是否成功。

    1. root用户登录eSight服务器。
    2. 查看对应的端口有没有启动成功。

      netstat -ano | grep 32240

      如果对应的命令有结果输出,表示更新第三方视频监控系统证书成功

更新eLTE证书

关于本章

建议用户替换掉默认证书以确保安全。同时,替换证书可能导致设备断连等问题,请谨慎操作。

eLTE管理组件相关证书如表5-11所示。

表5-11 eLTE管理组件相关证书

证书名称

证书放置路径

是否默认使用

连接终端的南向证书

  • 服务端私钥:eSight安装目录/ AppBase/etc/ewl/cpe/ssl/serverKeyStore
  • 服务端信任证书:eSight安装目录/AppBase/etc/ewl/cpe/ssl/serverTrustStore

连接基站、核心网的南向证书

  • 服务端私钥:eSight安装目录/AppBase/etc/ewl/primaryne/neconnection/ssl/serverKeyStore
  • 服务端信任证书:eSight安装目录/AppBase/etc/ewl/primaryne/neconnection/ssl/serverTrustStore

FTPS证书

  • 服务端私钥:eSight安装目录/AppBase/etc/certificate/application/med/ftps/keys/ftpsKeyStore.jks
  • 服务端信任证书:eSight安装目录/AppBase/etc/certificate/application/med/ftps/ca/ftpsCATrustStore.jks

更新连接终端的南向证书

为确保安全,建议用户替换掉连接终端的南向证书。

前提条件

  • 已登录客户端。
  • 已具备证书管理的操作权限。
  • 准备好后缀为der的证书。

注意事项

  • 为确保安全,建议用户替换掉默认证书。
  • 证书更新和证书恢复操作会造成短暂的设备断连,请谨慎操作。

操作步骤

  1. 在主菜单中选择“资源 > eLTE > eLTE系统设置 > 证书管理”。
  2. 更新证书。

    1. 根据实际需求,在“证书更新”栏,选择“设备类型”为“行业终端”。
    2. 依次单击“根证书”、“服务器证书”和“服务器私钥”后的,在弹出的窗口选择本地已准备好的证书,单击“打开”。
    3. 单击“更新”。
    4. 在弹出的提示框中选择“是”。

  3. 可选: 恢复证书。

    1. 选择需要恢复的“设备类型”。
    2. 根据实际需求,单击“恢复上一次”或“恢复出厂”。

更新连接基站、核心网的南向证书

为确保安全,建议用户替换掉连接基站、核心网的南向证书。

前提条件

  • 已登录客户端。
  • 已具备证书管理的操作权限。
  • 准备好后缀为der的证书。

注意事项

  • 为确保安全,建议用户替换掉默认证书。
  • 证书更新和证书恢复操作会造成短暂的设备断连,请谨慎操作。

操作步骤

  1. 在主菜单中选择“资源 > eLTE > eLTE系统设置 > 证书管理”。
  2. 更新证书。

    1. 根据实际需求,在“证书更新”栏,选择“设备类型”为“基站/核心网”。
    2. 依次单击“根证书”、“服务器证书”和“服务器私钥”后的,在弹出的窗口选择本地已准备好的证书,单击“打开”。
    3. 单击“更新”。
    4. 在弹出的提示框中选择“是”。

  3. 可选: 恢复证书。

    1. 选择需要恢复的“设备类型”。
    2. 根据实际需求,单击“恢复上一次”或“恢复出厂”。

更新FTPS证书

介绍如何手工更换FTPS服务器 证书。请在业务量小的时候进行操作。

前提条件

  • 获取了FTPS服务器所需的JKS(JavaKeysotre)格式的证书。
  • 如果获取到的是PFX(Public Key Cryptography Standards #12,PKCS#12,文件的后缀为.pfx或.p12)格式的证书则需要进行证书格式的转换,请参见PFX格式转换为JKS格式
  • 本章以Linux操作系统为例,介绍FTPS服务器证书的更新方法。

操作步骤

  1. (可选)备份已有证书。

    1. ossuser用户登录服务器。
    2. 执行以下命令备份证书目录。

      > cp -R eSight安装目录/ AppBase/etc/certificate/application/med/ftps/ eSight安装目录/AppBase/etc/certificate/application/med/ftps_backup/

      将得到证书的备份目录ftps_backup。

  2. 将证书放置在“eSight安装目录/AppBase/etc/certificate/application/med/ftps”目录下。放置后:

    • 服务端私钥:eSight安装目录/AppBase/etc/certificate/application/med/ftps/keys/ftpsKeyStore.jks
    • 服务端信任证书:eSight安装目录/AppBase/etc/certificate/application/med/ftps/ca/ftpsCATrustStore.jks

    如果获取到的服务端私钥和信任证书文件名与上述不一致,请重命名文件与上述一致。

  3. 设置证书文件的访问控制权限,使得只有ossuserroot用户拥有查看、修改权限。

    1. root用户登录服务器。
    2. 执行以下命令设置ossuser用户为“eSight安装目录/ AppBase/etc/certificate/application/med/ftps/”目录的属主。

      # chown -R ossuser:ossgroup eSight安装目录/AppBase/etc/certificate/application/med/ftps/

    3. 执行以下命令设置“eSight安装目录/AppBase/etc/certificate/application/med/ftps/”目录的访问权限为600。

      # chmod 600 –R eSight安装目录/AppBase/etc/certificate/application/med/ftps/

  4. 修改南向FTPS服务证书配置文件

    1. 生成新密码的加密密码。
      1. ossuser用户登录服务器。
      2. 执行如下命令切换目录。

        > cd eSight安装目录/AppBase/tools/bmetool/encrypt

      3. 执行如下命令加密。

        > ./encrypt.sh 0

      4. 根据提示输入新密码(Changeme_456)
        Please input the password: 
         
        Please input the password again:     

        执行成功后,输出结果如下所示:

        @0102000000004bb897ace0f1743e71edd990653732544334c23ff73542176650964b8f0d50f7

      对同一字符串进行加密,每次得到的结果是不一样的。

    2. 修改所有eSight安装目录/AppBase/sysagent/etc/sysconf/svcbase/med_node_*_svc.xml。

      参考以下进行修改:

      </config>

      <config name="ftps">

      <param name="enable">true</param>

      <param name="listenerPort">31923</param>

      <param name="passivePorts">31932,32145-32154</param>

      <param name="implicitSsl">false</param>

      <param name="checkSslExpiryDate">true</param>

      <param name="supportRenegotiate">true</param>

      <param name="includeCipherSuites">TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA</param>

      <param name="CAKeystoreFileName">etc/certificate/application/med/ftps/ca/ftpsCATrustStore.jks</param>

      <param name="CAPass">@0102000000004bb897ace0f1743e71edd990653732544334c23ff73542176650964b8f0d50f7</param>

      <param name="keystoreFileName">etc/certificate/application/med/ftps/keys/ftpsKeyStore.jks</param>

      <param name="sslPassword">@0102000000004bb897ace0f1743e71edd990653732544334c23ff73542176650964b8f0d50f7</param>

      ......

      </config>

      • @0102000000004bb897ace0f1743e71edd990653732544334c23ff73542176650964b8f0d50f7”为“Changeme_456”的加密密码。
      • CAPassCAKeystoreFileName对应证书的密码。
      • sslPasswordkeystoreFileName对应证书的密码。
    3. 重启eSight服务。

更新证书库密码

网管与终端、基站及核心网连接等证书存放在证书库中,本章节介绍如何修改证书库的密码。

背景信息

修改证书库密码的方式相同,本文以在SUSE系统下修改网管与基站、核心网连接的证书库密码为例,其他不再赘述。

操作步骤

  1. ossuser用户登录服务器。
  2. 进入证书库文件所在目录:

    > cd eSight安装目录/AppBase/etc/ewl/primaryne/neconnection/ssl

  3. 执行如下命令,修改证书库密码。

    > ./eSight安装目录/AppBase/jre/bin/keytool -storepasswd –keystore serverKeyStore

    根据提示首先输入keystore的初始密码,然后两次输入新密码。

    Enter keystore password: 
    New keystore password:  
    Re-enter new keystore password:     

    keystore的初始密码为ei*b+@b#6Nh(tS1j,请修改初始密码以确保证书库的安全性。定期修改密码,可防止系统密码被恶意盗取,保障系统和用户安全。

    建议新密码满足以下规则:

    • 不能少于8个字符,或超过32个字符。
    • 一字符不能出现超过2次。
    • 至少包括一个大写字母(A~Z),一个小写字母(a~z),一个数字字符(0~9)。

  4. 完成证书库密码的修改后,对密码进行加密后同步更新配置文件。具体操作请参考“参考 > 命令参考 > eSight命令参考 > 基础管理 > 加密密码命令工具”章节。
  5. 重启网管生效。

后续处理

表5-12 证书库以及对应的配置文件路径

证书库

证书库路径

配置文件

网管与基站、核心网连接的证书库

“eSight安装目录/AppBase/etc/ewl/primaryne/neconnection/ssl/serverKeyStore”

mml.properties

“eSight安装目录/AppBase/etc/ewl/primaryne/neconnection/ssl/serverTrustStore”

网管与终端连接的证书库

“eSight安装目录/AppBase/etc/ewl/cpe/ssl/serverKeyStore”

AcsServer.xml

fileserver.xml

“eSight安装目录/AppBase/etc/ewl/cpe/ssl/serverTrustStore”

PFX格式转换为JKS格式

除Nginx外,eSight其他业务使用的证书均为JKS格式,如果获取到的证书是PFX格式(假如文件名为server.pfx或server.p12),需要把证书转换成JKS格式。

下面以服务端的证书server.pfx为例介绍证书格式的转换,转换后将得到JKS格式的证书:

  • 服务端私钥:serverKeyStore
  • 服务端信任证书:serverTrustStore

同时可得到所需的其他证书:

  • 服务器私钥:server.pem
  • 服务器公钥:server.crt

客户端证书转换的方法相同,不再赘述。

操作步骤

  1. ossuser用户登录服务器。
  2. 复制证书(server.pfx或server.p12)到eSight安装目录/AppBase/jre/bin目录,假如证书的密码为Changeme_456。

    如果不是使用ossuser用户复制文件,则需要使用root用户设置目标目录的属主为ossuser,否则文件不能被ossuser用户使用,以下涉及文件复制的,此说明均适用。

    设置ossuser用户为某目录的属主方法如下。

    root用户登录服务器,执行以下命令:

    # chown -R ossuser目录名

  3. 执行如下命令切换目录到eSight安装目录/AppBase/jre/bin

    > cd eSight安装目录/AppBase/jre/bin

  4. 执行以下命令进行证书格式的转换,将得到JKS格式的证书。

    > . / keytool -importkeystore -v -srckeystore server.pfx -srcstoretype pkcs12 -srcstorepass Changeme_456 -destkeystore serverKeyStore -deststoretype jks -deststorepass Changeme_456

    Entry for alias 1 successfully imported. 
     
    Import command completed:  1 entries successfully imported, 0 entries failed or cancelled 
     
    [Storing serverKeyStore]

    表明已经生成文件:serverKeyStore。

  5. 执行以下命令查看证书的信息,获取证书别名。

    > . / keytool -v -list -keystore serverKeyStore -storepass Changeme_456

    Keystore type: JKS 
    Keystore provider: SUN 
     
    Your keystore contains 1 entry 
     
    Alias name: 1 
    Creation date: Jul 23, 2014 
    Entry type: PrivateKeyEntry 
    Certificate chain length: 1 
    Certificate[1]: 
    Owner: CN=10.66.49.232, OU=Developer, O=Techstar, L=ShenZhen, ST=ShenZhen, C=CH 
    Issuer: CN=10.66.49.232, OU=Developer, O=Techstar, L=ShenZhen, ST=ShenZhen, C=CH 
    Serial number: 40765ec9 
    Valid from: Fri Jul 12 09:45:11 GMT+08:00 2013 until: Mon Jul 10 09:45:11 GMT+08:00 2023 
    Certificate fingerprints: 
             MD5:  F7:12:1A:3F:F3:62:9F:5B:07:4E:F1:2C:EC:60:57:1E 
             SHA1: BC:89:8D:CA:6D:EE:73:55:05:6C:08:0D:D9:6B:1D:80:B8:40:83:CA 
             SHA256: 89:82:4C:8E:61:3F:0E:13:D5:98:A8:F1:0F:02:52:BA:76:B7:88:7F:39:35:73:BE:ED:4A:CF:46:D2:3D:45:E7 
             Signature algorithm name: SHA256withRSA 
             Version: 3 
     
    Extensions: 
     
    #1: ObjectId: 2.5.29.14 Criticality=false 
    SubjectKeyIdentifier [ 
    KeyIdentifier [ 
    0000: 33 40 05 15 39 09 CE 4D   60 C3 92 B5 88 FA F3 18  3@..9..M`....... 
    0010: 1B 0C B6 90                                        .... 
    ] 
    ] 
     
     
     
    ******************************************* 
    *******************************************

    其中Alias name: 1表明别名为1。

  6. 生成信任证书serverTrustStore。

    1. 执行以下命令生成公钥证书(DER——Distinguished Encoding Rules编码的文件server.cer):

      > . / keytool -export -alias 1 -keystore serverKeyStore -fileserver.cer -storepass Changeme_456

      Certificate stored in files <server.cer>

      表明已经生成文件:server.cer。

    2. 执行以下命令将server.cer导入到信任证书serverTrustStore中(其中的-keypass和-storepass对应的密码由用户指定)。

      > . / keytool -export -alias server -keystore serverTrustStore -file server.cer -keypass Changeme_456 -storepass Changeme_456

      Trust this certificate? [no]:

      输入“y”,并回车。

      Certificate was added to keystore

      表明已经生成文件:serverTrustStore。

  7. 将serverKeyStore文件复制至eSight安装目录/AppBase/tools/jks2pfx。

    > cp serverKeyStore eSight安装目录/AppBase/tools/jks2pfx/

  8. 执行如下命令切换目录到eSight安装目录/AppBase/tools/jks2pfx

    cd eSight安装目录/AppBase/tools/jks2pfx

  9. 执行以下命令进行证书格式的转换。

    ./JKS2PFX.sh serverKeyStore Changeme_456 1 server

    证书中需要包含私钥,否则格式转换将失败。

    其中的“1”为证书的别名,请根据实际情况进行输入。

    执行该命令会生成三个文件: server.pem、server.crt、server.pfx。

查看JKS格式证书的信息

使用Java提供的keytool工具可以查看JKS格式的证书信息。

前提条件

获取了JKS(JavaKeysotre)格式的证书。

操作步骤

  1. ossuser用户登录服务器。
  2. 复制证书(例如serverKeyStore)到eSight安装目录/AppBase/jre/bin目录,假如证书的密码为Changeme_456。

    如果不是使用ossuser用户复制文件,则需要使用root用户设置目标目录的属主为ossuser,否则文件不能被ossuser用户使用,以下涉及文件复制的,此说明均适用。

    设置ossuser用户为某目录的属主方法如下。

    root用户登录服务器,执行以下命令:

    # chown -R ossuser 目录名

  3. 执行以下命令查看证书的信息。

    > ./keytool -v -list -keystore serverKeyStore -storepass Changeme_456 -storetype jks

    回显信息举例:

    Keystore type: JKS 
    Keystore provider: SUN 
     
    Your keystore contains 2 entries 
     
    Alias name: server 
    Creation date: Feb 25, 2014 
    Entry type: trustedCertEntry 
     
    Owner: CN=10.66.49.232, OU=Developer, O=Techstar, L=ShenZhen, ST=ShenZhen, C=CH 
    Issuer: CN=10.66.49.232, OU=Developer, O=Techstar, L=ShenZhen, ST=ShenZhen, C=CH 
    Serial number: 40765ec9 
    Valid from: Fri Jul 12 09:45:11 CST 2013 until: Mon Jul 10 09:45:11 CST 2023 
    Certificate fingerprints: 
             MD5:  F7:12:1A:3F:F3:62:9F:5B:07:4E:F1:2C:EC:60:57:1E 
             SHA1: BC:89:8D:CA:6D:EE:73:55:05:6C:08:0D:D9:6B:1D:80:B8:40:83:CA 
             SHA256: 89:82:4C:8E:61:3F:0E:13:D5:98:A8:F1:0F:02:52:BA:76:B7:88:7F:39:35:73:BE:ED:4A:CF:46:D2:3D:45:E7 
             Signature algorithm name: SHA256withRSA 
             Version: 3

    其中:

    • Alias name表示证书别名。
    • Issuer表示证书颁发者。
    • Valid from表示证书生效起始时间。
    • until表示证书失效时间。

更新主机Agent和网管侧HTTPS证书

为了提高系统的运维安全性,用户可能希望使用第三方认证机构颁发的证书。网管支持替换用户的主机Agent和网管侧的HTTPS证书,在证书变更后,设备可以使用更新的证书。

前提条件

更新证书前,请先配置OpenSSL环境,操作步骤如下。

  1. 登录http://www.openssl.org/source/网站,下载“openssl-1.0.2q.tar.gz ”文件,解压文档到当前目录。
  2. 运行MicroSoft Visual Studio命令提示窗口,进入“openssl-1.0.2q”目录,依次输入以下命令编译、安装openssl:perl Configure VC-WIN32 no-asmms\do_msnmake -f ms\ntdll.maknmake -f ms\ntdll.mak testnmake -f ms\ntdll.mak install

    • 如果不能执行perl命令,请安装“ActivePerl-5.16.3.1603-MSWin32-x86-296746.msi”软件。
    • 编译结果目录为“out32dll”。

背景信息

ca证书文件、主机Agent证书文件和网管侧证书文件的初始密码为“Huawei@123”。在首次使用主机Agent时,请按以下步骤替换Agent证书和密码。

生成主机Agent侧证书文件

  1. 运行MicroSoft Visual Studio命令提示窗口,进入“out32dll”目录,输入命令openssl genrsa -aes128 -out ca.key 2048生成ca密钥文件。

    在生成文件过程中需要输入文件密码,请输入密码,并记住该密码。密码需要满足以下复杂度要求:

    • 至少6个字符。
    • 必须同时包含以下字符中的两种:大写字母、小写字母、数字、特殊字符集(`~!@#$%^&*()-_=+\|[{}];:'",<.>/?以及空格)。

  2. 输入命令openssl req -new -days 3650 -x509 -key ca.key -sha256 -out ca.crt生成ca证书,在生成文件过程中请输入步骤1中的ca密钥文件密码,按页面提示要求,依次输入“Country Name”、“State Or Province Name”、“Locality Name”、“Organization Name”、“Organizational Unit Name”、“Common Name”和“Email Address”参数信息,按“Enter”。

    请按页面提示要求输入参数信息,参数不能为空。

  3. 输入命令openssl genrsa -aes128 -out server.key 2048生成server密钥文件,在生成文件过程中需要输入文件密码,请输入密码,并记住该密码。
  4. 输入命令openssl req -new -key server.key -out server.csr生成csr文件,在生成文件过程中请输入步骤3中的server密钥文件密码,按页面提示要求,按照步骤2中设置的参数,输入对应的参数信息,按“Enter”。
  5. 输入命令openssl ca -md sha256 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 3650生成server证书,在生成文件过程中请输入步骤1ca密钥文件密码。

    如果生成证书失败,请执行以下操作:

    • 在当前目录下新建命名为“demoCA”的文件夹。
    • 在“demoCA”目录下,新建命名为“newcerts”和“private”的文件夹。
    • 在“demoCA”目录下,新建命名为“index.txt”的文件。
    • 在“demoCA”目录下,新建命名为“serial”的文件,用记事本编辑,输入01,换行,保存退出。

生成网管侧证书文件

  1. 运行命令行窗口中,输入命令openssl genrsa -aes128 -out client.key 2048生成client密钥文件,在生成文件过程中需要输入文件密码,请输入密码,并记住该密码。
  2. 输入命令openssl req -new -key client.key -out client.csr生成csr文件,在生成文件过程中请输入步骤1中的client密钥文件密码,按页面提示要求,按照“生成主机Agent侧证书文件”步骤2中设置的参数,输入对应的参数信息,按“Enter”。
  3. 输入命令openssl ca -md sha256 -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -days 3650生成client证书,在生成文件过程请输入“生成主机Agent侧证书文件”步骤1ca密钥文件密码。

    如果生成证书失败,请将“demoCA”目录下的“index.txt”文件内容清空。

  4. 创建一个新的文件,命名为“clientTruststore.pem”,将ca.key中的内容复制到该文件,按“Enter”键,将“ca.crt”中的内容复制到该文件,保存。
  5. 登录http://sourceforge.jp/projects/sfnet_portecle/releases/网站,下载“Portecle”工具后运行,系统弹出“Portecle”界面,在菜单栏上,选择“File > New Keystone”,在弹出的“New Keystone Type”对话框中,选择“JKS”,单击“OK”。
  6. 在菜单栏上,选择“Tools > Import Trusted Certificate”,在弹出的对话框中,选择“clientTruststore.pem”文件,单击“Import”。
  7. 单击“OK”。
  8. 在系统弹出的对话框中,单击“OK”。
  9. 在系统弹出的对话框中,单击“是”,在系统弹出的对话框中,单击“OK”。
  10. 在菜单栏上,选择“File > Save Keystore As”,在弹出的对话框中,输入“生成主机Agent侧证书文件”步骤1中的ca密钥文件密码,单击“OK”。
  11. 在弹出的“Save Keystore As”对话框中,在“文件名”中输入clientTruststore.jks,单击“保存”。
  12. 创建一个新的文件,命名为“clientKeystore.pem”,将client.key中的内容复制到该文件,按“Enter”键,将“client.crt”中的内容复制到该文件,保存。
  13. 运行“Portecle”工具,在菜单栏上,选择“File > New Keystone”,选择“JKS”,单击“OK”。
  14. 在菜单栏上,选择“Tools > Import Key Pair”,在弹出“Choose Key Pair File for Import”对话框中,选择“clientKeystore.pem”文件,单击“Choose”。
  15. 在弹出的对话框中输入步骤1client密钥文件密码,单击“OK”。
  16. 在系统弹出“Import Key Pair”对话框中,单击“OK”,系统弹出“Trusted Certificate Entry Alias”对话框。
  17. 单击“OK”,系统弹出“Key Pair Entry Password”对话框,输入步骤1client密钥文件密码,单击“OK”。
  18. 在菜单栏上,选择“File > Save Keystore As”,在弹出的对话框中,输入步骤1client密钥文件,单击“OK”。
  19. 在弹出的“Save Keystore As”对话框中,在“文件名”中输入clientKeystore.jks,单击“保存”。

替换主机Agent侧证书

  1. 进入HostAgent安装目录,关闭HostAgent。
  2. 将“生成主机Agent侧证书文件”中生成的证书文件:“ca.crt”、“server.key”和“server.crt”替换到HostAgent安装目录。
  3. 在Linux操作系统中,运行“CertificateEncrypt.sh”工具,根据提示输入原密码及新密码,选择Y进行替换。
  4. 重新启动HostAgent,新证书生效。

替换网管侧证书

  1. 进入eSight安装目录“eSight/AppBase/bin”,停止eSight网管。
  2. 进入“eSight/AppBase/lib/com.huawei.esight.it.framework”目录,用WinRAR打开“com.huawei.esight.it.common.protocol.https-1.0-SNAPSHOT.jar”文件,将“生成网管侧证书文件”中生成的“clientTruststore.jks”和“clientKeystore.jks”文件替换到“certificate”目录,保存后退出。
  3. 运行命令行,进入安装目录“eSight/AppBase/tools/bmetool/encrypt”,Windows系统运行encrypt.bat 0,Linux以ossuser用户进入该目录执行./encrypt.sh 0。输入“生成网管侧证书文件”步骤1中生成的client密钥文件密码。请记住工具生成的加密密码。
  4. 进入“eSight/AppBase/lib/com.huawei.esight.it.framework”目录,用WinRAR打开“com.huawei.esight.it.common.protocol.https-1.0-SNAPSHOT.jar”文件,进入“conf”目录,将上一步骤中生成的密码复制后,写入“security.properties”文件中的“ssl.keystore.value”项,保存后退出。
  5. 运行命令行,进入安装目录“eSight/AppBase/tools/bmetool/encrypt”,Windows系统运行encrypt.bat 0,Linux以ossuser用户进入该目录执行./encrypt.sh 0。输入“生成主机Agent侧证书文件”步骤1中生成的ca密钥文件密码。请记住工具生成的加密密码。
  6. 进入“eSight/AppBase/lib/com.huawei.esight.it.framework”目录,用WinRAR打开“com.huawei.esight.it.common.protocol.https-1.0-SNAPSHOT.jar”,进入“conf”目录,将上一步骤中生成的密码复制后,写入“security.properties”文件中的“ssl.trusetkeystore.value”项,保存后退出。
  7. 进入eSight安装目录“eSight/AppBase/bin”,重新启动eSight网管。

更新敏捷报表Tomcat证书

为了提高系统的运维安全性,用户可能希望使用第三方认证机构颁发的证书。网管支持用户替换敏捷报表的Tomcat证书,在证书变更后,设备可以使用更新的证书。

前提条件

  • 替换Tomcat证书需要Tomcat证书的keystorePass密文保存方案,用户已经获取Tomcat公私钥对。
  • 已停止eSight服务。

背景信息

更新证书后需要重启eSight才能生效,重启过程中业务暂停,请在业务量较小时进行操作。

在Windows操作系统,以管理员用户登录服务器;在Linux操作系统,以“root”用户登录服务器。

操作步骤

  • Windows操作系统
    1. 进入敏捷报表证书文件目录“eSight安装目录\AppBase\UniBI_Server\tomcat\conf\SSLKey”。
    2. 将“UniBI.jks”文件进行备份,并命名为“UniBI_back.jks”。
    3. 将eSight证书密钥文件“eSight安装目录\AppBase\etc\certificate\serverKeyStore”复制到敏捷报表证书文件目录“eSight安装目录\AppBase\UniBI_Server\tomcat\conf\SSLKey”。
    4. 将“serverKeyStore”重命名为“UniBI.jks”。
    5. 在Windows开始菜单中运行cmd,进入命令行界面。
    6. 执行以下命令,进入加密工具的目录。

      cd /d eSight安装目录\AppBase\UniBI_Server\tools

    7. 执行以下命令,加密密钥文件的密码。

      encryptreversible.bat -i

      根据提示输入密码、确认密码和“keyPath”,其中“keyPath”为“eSight安装目录\AppBase\UniBI_Server\unibi-solutions\security\conf”。命令执行后生成密文字符串。

    8. 打开“eSight安装目录\AppBase\UniBI_Server\unibi-solutions\system\conf”,将“system.properties”文件中“keystorePass”参数值设置为新生成的密码密文。
    9. 重新启动eSight服务器。
  • Linux系统
    1. 执行以下命令,进入敏捷报表证书文件目录并且备份UniBI.jks文件。

      cd eSight安装目录/AppBase/UniBI_Server/tomcat/conf/SSLKey

      cp UniBI.jks ./UniBI_back.jks

      rm UniBI.jks

    2. 执行以下命令,将eSight证书密钥文件复制到敏捷报表证书文件目录。

      cp eSight安装目录/AppBase/etc/certificate/serverKeyStore ./

    3. 执行以下命令,将“serverKeyStore”重命名为“UniBI.jks”。

      mv serverKeyStore UniBI.jks

    4. 执行以下命令,进入加密工具的目录。

      cd eSight安装目录/AppBase/UniBI_Server/tools

    5. 执行以下命令,加密密钥文件的密码。

      sh encryptreversible.sh -i

      根据提示输入密码、确认密码和“keyPath”,其中“keyPath”为“eSight安装目录/AppBase/UniBI_Server/unibi-solutions/security/conf”。命令执行后生成密文字符串。

    6. 打开“eSight安装目录/AppBase/UniBI_Server/unibi-solutions/system/conf”,将“system.properties”文件中“keystorePass”参数值设置为新生成的密码密文。
    7. 重新启动eSight服务器。

xxx

更新第三方OpenStack安全证书

eSight中第三方OpenStack的安全维护操作包括:更新安全证书和密钥及安全审计。

eSight中第三方OpenStack提供的各种服务使用SSL相互通信。在SSL模式下,必须在RabbitMQ、Sensu客户端和eSight服务器上部署服务证书。建议用户定期更新证书,确保服务维护期间的通信安全。

RabbitMQ证书

RabbitMQ证书用于保证eSight和Sensu客户端能连接到RabbitMQ。建议用户用该证书替换已安装证书。

证书信息

证书

格式

初始密码

有效期

路径

备注

cert.pem

key.pem

PEM

安装RabbitMQ时由用户设置

十年:可以在配置文件中进行配置

RabbitMQ:${RABBITMQ_HOME}/rabbitmq_server-3.6.10/ssl/client

SensuClient

/etc/sensu/ssl

用于保证Sensu客户端能与RabbitMQ通信。

keycert.p12

p12

安装RabbitMQ时由用户设置

十年:可以在配置文件中进行配置

从RabbitMQ拷贝到{eSight AppBase Directory}/etc/openstack/rabbitmqcert

用于保证eSight能与RabbitMQ通信。

更新RabbitMQ证书

本章描述了如何更新RabbitMQ证书及调测eSight服务器和Sensu客户端节点。

为确保RabbitMQ与eSight和Sensu客户端间的通信,请正确使用RabbitMQ证书。用户必须定期从CA申请并更新RabbitMQ证书。

前提条件

RabbitMQ服务已关闭。

背景信息

为保证Sensu客户端和eSight能与RabbitMQ正常通信。请按照如下步骤为每一个节点安装正确的证书。

注意事项

  • 请不要在话务高峰期更新证书。
  • 证书更新会影响告警及资源监控服务。
  • 更新前请先备份源证书。
  • 如果部署了主备管理节点,请按照以下顺序重新启动节点,以防止主备倒换:
    1. 停止备管理节点。
    2. 停止主管理节点。
    3. 启用主管理节点。
    4. 启用备管理节点。
  • 密码须符合如下要求:
    • 8到32位字符串。
    • 至少包含以下中的三种:大写字母、小写字母、数字、特殊字符。

      特殊字符包括:!、"、#、$、%、&、'、(、)、*、+、,、-、.、/、:、;、<、=、>、?、@、[、\、]、^、`、{、_、|、}、~及空格。

    • 密码不能同时包含单引号(')和双引号(")。

操作步骤

  1. rabbitmq用户登录RabbitMQ服务器。
  2. 在RabbitMQ Home目录下修改openssl.cnf文件中的证书有效期。

    vi scripts/openssl.cnf

    找到“default_days”,修改取值并保存。

  3. 执行shell脚本并输入新证书密码。

    > cd scripts

    > bash modify_certs.sh
    [INFO] Started generating certificates.....
    [QUESTION] Please provide certificate password. 
    Password should contain minimum 5 characters and maximum 15 characters..:
    [QUESTION] 
    Please provide certificate password again (confirmation)...:
    [INFO] 
    Password matched ..... 
    [INFO]  Regenerated the SSL certificates. 
    [INFO]  Restart the RabbitMQ..! 
    [INFO]  To stop RabbitMQ service:   sh stop_rabbitmq.sh 
    [INFO]  To start RabbitMQ service:   rabbitmq-server -detached

  4. 复制eSight主用服务器的RabbitMQ的SSL证书到eSight备用服务器的RabbitMQ的证书目录下。

    仅Rabbitmq双节点部署时执行此步骤。

    rrabbitmq用户登录到eSight主用服务器,执行以下命令复制SSL证书:

    # su - rabbitmq

    > cd rabbitmq_server-3.7.9/

    > scp -r ssl rabbitmq@XXX.XXX.XXX.XXX:/opt/rabbitmq/rabbitmq_server-3.6.10

    输入rabbitmq用户密码。

    上述命令中,XXX.XXX.XXX.XXX是eSight备用服务器的IP地址。

    证书拷贝成功后,执行以下命令分别重启主备eSight的rabbitmq服务。

    执行如下命令停止RabbitMQ服务:

    > cd ${RabbitmqHomedirectory}/scripts

    > sh stop_rabbitmq.sh

    执行以下命令启动RabbitMQ服务:

    > cd ${RabbitMQ installation directory}/sbin

    > ./rabbitmq-server -detached

导入RabbitMQ证书

介绍如何向eSight导入RabbitMQ证书。

eSight需要使用证书与RabbitMQ实现SSL通信。

操作步骤

  1. root用户登录eSight服务器。
  2. ${RABBITMQ_HOME}/rabbitmq_server-3.6.10/ssl/client目录下获取客户端证书keycert.p12复制到{eSight install Directory}/AppBase/etc/openstack/rabbitmqcert目录。

    # cp ${RABBIT_HOME}/rabbitmq_server-3.6.10/ssl/client/keycert.p12 {eSight install Directory}/AppBase/etc/openstack/rabbitmqcert

  3. 执行下面命令进入RABBITMQ文件夹

    # cd {eSight install Directory}/AppBase/etc/openstack/rabbitmqcert

    将证书拥有者修改为ossuser

    # chown ossuser:ossgroup keycert.p12

  4. 将证书文件权限改为600

    • 复制证书后运行以下命令进行确认。
      # ls -al
      -rw------- 1 ossuser ossgroup 2349 Feb 14 14:08 keycert.p12
    • 如果证书文件权限不是600,执行以下命令,修改证书文件权限。

      # chmod 600 keycert.p12

Sensu客户端上批量配置RabbitMQ证书

前提条件

  • conf.txt文件已配置。
  • 已从RabbitMQ获取到最新的cert.pemkey.pem,并保存到/home/stack/eSight/sensu/Deploy/client/ssl目录中。

操作步骤

  1. rabbitmq用户登录RabbitMQ服务器。
  2. 通过SFTP方式从RabbitMQ的${RABBITMQ_HOME}/rabbitmq_server-3.6.10/ssl/client目录获取客户端证书文件cert.pem、key.pem。
  3. stack用户登录Red Hat OpenStack Undercloud节点。
  4. 将证书文件cert.pem、key.pem拷贝到Red Hat OpenStack Undercloud节点/home/stack/eSight/sensu/Deploy/client/ssl目录中。
  5. 执行如下命令继续操作:

    > cd /home/stack/eSight/sensu/

    > sh configureRabbitMQInfoForSensuClient.sh

    命令执行后,按提示输入rabbitmq用户密码,再次输入密码进行确认。
    Password for RABBITMQ user sensu:  
    Enter password again :
    查看生成的RabbitMQ JSON文件后,输入yes继续。
    [QUESTION] Continue? (yes/no): 

更新Driver组件证书(通用场景)

eSight对接的系统的证书或证书密码变更,需要及时在eSight侧更新证书或证书密码。

更新与RESTConnectors对接的eSight证书和密码

eSight证书和密码用于RESTConnectorService通过HTTPS访问eSight服务时进行认证。为了确保系统安全,建议您定期更新eSight证书和密码。

前提条件

  • 已从CA(Certificate Authority)机构申请证书以及对应的密码。
  • 已参考更新eSight的预置PKI证书章节替换eSight默认证书,并获取与新证书配套的CA证书。

背景信息

  • RESTConnectorService驱动框架(DriverFrm)服务下的微服务。
  • 更新证书和密码需要重启eSight,会导致eSight服务不可用,建议您在凌晨业务闲时操作。

操作步骤

  1. 使用admin用户,在CloudOpera中,导入与新证书配套的CA证书。

    1. 在系统主菜单中,选择系统 > 系统设置 > 接入管理
    2. 在左侧导航栏中选择证书管理 > 信任证书
    3. 在弹出的页面中单击“上传”
    4. “服务名称”选择“Driver”,单击“文件名称”输入框,选择要导入的证书文件。

    5. 单击“提交”

      若导入时提示eSight证书已存在,则无需再导入eSight证书。

  2. 进行连通性测试

    1. 在左侧导航栏中选择接入管理
    2. 单击“eSight”,在弹出的页面中单击,进行连通性测试。

      测试成功则证书导入成功。否则,请重复执行1重新导入证书。

更新与BackendERService对接的外部系统ER信任证书和密码

当外部系统ER侧的证书更新后,需要在eSight服务侧更新信任证书以及对应的密码。

前提条件

  • 外部系统ER侧的证书已更新。
  • 已获取外部系统的ER信任证书和密码。

背景信息

  • BackendERService是HTTP负载均衡(HRS)服务的微服务。
  • 外部系统ER侧提供给eSight服务的ER信任证书和密码用于eSight访问外部系统时进行HTTPS单向认证。

操作步骤

eSight为双机部署时,更新与BackendERService对接的外部系统ER信任证书和密码。

  1. 上传外部系统ER信任证书文件到eSight主备节点。

    1. 将已获取的外部系统ER信任证书重命名为“trust.jks”。
    2. 以ossuser用户将重命名后的ER信任证书文件上传到eSight主备节点的“/opt/eSight/AppBase/etc/ies”目录中替换旧的ER信任证书文件。

  2. ossuser用户登录eSight主节点和eSight备节点。
  3. 主备节点上都要执行以下操作,修改“config.properties”配置文件。

    1. 执行以下命令修改配置参数。

      cd /opt/eSight/AppBase/tools

      ./modifyConfig.sh

      系统显示类似如下信息:
      No    Key                     Value
      1     ER_IP                   192.168.10.12
      2     ER_port                 26330
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      
      7     ApiGateway_Host_Port    
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  
      11    eSight_Token_Name       
      12    eSight_Token_Value      
      13    ApiGateway_Token_Time   
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           
      Please input the number of key(q to quit):
    2. 输入TrustStorePwd参数的序号“17”,按“Enter”,系统显示如下信息:
      Please input the value of TrustStorePwd(q to cancel):
    3. 输入TrustStorePwd参数的值,即ER信任证书的密码,按“Enter”。

      TrustStorePwd参数对应的Value栏中显示输入的值,表示配置成功,如下:

      No    Key                     Value
      1     ER_IP                   192.168.10.12 
      2     ER_port                 26330
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      
      7     ApiGateway_Host_Port    
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  
      11    eSight_Token_Name       
      12    eSight_Token_Value      
      13    ApiGateway_Token_Time   
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      Please input the number of key(q to quit):
    4. 输入“q” 保存修改并退出。

  4. 重新启动eSight双机系统,使配置生效。

eSight为单机部署时,更新与BackendERService对接的外部系统ER信任证书和密码。

  1. 上传外部系统ER信任证书文件到eSight节点。

    1. 将已获取的外部系统ER信任证书重命名为“trust.jks”。
    2. 以ossuser用户将重命名后的ER信任证书文件上传到eSight节点的“/opt/eSight/AppBase/etc/ies”目录中替换旧的ER信任证书文件。

  2. 以ossuser用户登录eSight节点。
  3. 执行以下操作,修改“config.properties”配置文件。

    1. 执行以下命令修改配置参数。

      cd /opt/eSight/AppBase/tools

      ./modifyConfig.sh

      系统显示类似如下信息:
      No    Key                     Value
      1     ER_IP                   192.168.10.12
      2     ER_port                 26330
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      
      7     ApiGateway_Host_Port    
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  
      11    eSight_Token_Name       
      12    eSight_Token_Value      
      13    ApiGateway_Token_Time   
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           
      Please input the number of key(q to quit):
    2. 输入TrustStorePwd参数的序号“17”,按“Enter”,系统显示如下信息:
      Please input the value of TrustStorePwd(q to cancel):
    3. 输入TrustStorePwd参数的值,即ER信任证书的密码,按“Enter”。

      TrustStorePwd参数对应的Value栏中显示输入的值,表示配置成功,如下:

      No    Key                     Value
      1     ER_IP                   192.168.10.12 
      2     ER_port                 26330
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      
      7     ApiGateway_Host_Port    
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  
      11    eSight_Token_Name       
      12    eSight_Token_Value      
      13    ApiGateway_Token_Time   
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      Please input the number of key(q to quit):
    4. 输入“q” 保存修改并退出。

  4. 重新启动eSight,使配置生效。

更新与BackendERService对接的eSight证书和密码

eSight证书和密码用于BackendERService通过HTTPS访问eSight服务时进行认证。为了确保系统安全,建议您定期更新eSight证书和密码。

前提条件

已从CA(Certificate Authority)机构申请证书以及对应的密码。

背景信息

BackendERService是HTTP负载均衡(HRS)服务的微服务。

操作步骤

eSight为双机部署时,更新与BackendERService对接的eSight证书和密码。

  1. 上传证书到eSight主备节点。

    1. 将已获取到的证书重命名为“server.p12”。
    2. 以ossuser用户将重命名后的证书上传到eSight主备节点的“/opt/eSight/AppBase/etc/ies”目录中替换旧的证书。

  2. 以ossuser用户登录eSight主备节点。
  3. 主备节点上都要执行以下操作,修改“config.properties”配置文件。

    1. 执行以下命令修改配置参数。

      cd /opt/eSight/AppBase/tools

      ./modifyConfig.sh

      系统显示类似如下信息:
      No    Key                     Value
      1     ER_IP                   192.168.10.12
      2     ER_port                 26330
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      
      7     ApiGateway_Host_Port    
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  
      11    eSight_Token_Name       
      12    eSight_Token_Value      
      13    ApiGateway_Token_Time   
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      Please input the number of key(q to quit):
    2. 输入KeyStorePwd参数的序号“15”,按“Enter”,系统显示如下信息:
      Please input the value of KeyStorePwd(q to cancel):
    3. 输入KeyStorePwd参数的值,即server.p12证书的密码,按“Enter”。

      KeyStorePwd参数对应的Value栏中显示输入的值,表示配置成功,如下:

      No    Key                     Value
      1     ER_IP                   192.168.10.12 
      2     ER_port                 26330
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      
      7     ApiGateway_Host_Port    
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  
      11    eSight_Token_Name       
      12    eSight_Token_Value      
      13    ApiGateway_Token_Time   
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      Please input the number of key(q to quit):
    4. 输入“q” 保存修改并退出。

  4. 重新启动eSight双机系统,使配置生效。

eSight为单机部署时,更新与BackendERService对接的eSight证书和密码。

  1. 上传证书到eSight服务器。

    1. 将已获取到的证书重命名为“server.p12”。
    2. 以ossuser用户将重命名后的证书上传到eSight服务器的“/opt/eSight/AppBase/etc/ies”目录中替换旧的证书。

  2. 以ossuser用户登录eSight服务器。
  3. 执行以下操作,修改“config.properties”配置文件。

    1. 执行以下命令修改配置参数。

      cd /opt/eSight/AppBase/tools

      ./modifyConfig.sh

      系统显示类似如下信息:
      No    Key                     Value
      1     ER_IP                   192.168.10.12
      2     ER_port                 26330
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      
      7     ApiGateway_Host_Port    
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  
      11    eSight_Token_Name       
      12    eSight_Token_Value      
      13    ApiGateway_Token_Time   
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      Please input the number of key(q to quit):
    2. 输入KeyStorePwd参数的序号“15”,按“Enter”,系统显示如下信息:
      Please input the value of KeyStorePwd(q to cancel):
    3. 输入KeyStorePwd参数的值,即server.p12证书的密码,按“Enter”。

      KeyStorePwd参数对应的Value栏中显示输入的值,表示配置成功,如下:

      No    Key                     Value
      1     ER_IP                   192.168.10.12 
      2     ER_port                 26330
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      
      7     ApiGateway_Host_Port    
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  
      11    eSight_Token_Name       
      12    eSight_Token_Value      
      13    ApiGateway_Token_Time   
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      Please input the number of key(q to quit):
    4. 输入“q” 保存修改并退出。

  4. 重新启动eSight,使配置生效。

后续处理

eSight证书和密码修改后,需要将CA证书提供给BackendERService微服务,并上传CA到BackendERService微服务所在的服务器。

更新与APIMLBService对接的外部系统trust.jks信任证书和密码

当外部系统APIMLBService的trust.jks证书更新后,需要在eSight侧更新trust.jks证书和密码。

前提条件

  • 外部系统APIMLBService的trust.jks证书的证书已更新。
  • 已获取外部系统APIMLBService的trust.jks证书和密码。

背景信息

  • APIMLBService提供接口供第三方系统和eSight对接。
  • 外部系统APIMLBService提供给eSight的trust.jks信任证书和密码用于访问外部系统时进行HTTPS单向认证。

操作步骤

eSight为双机部署时,更新与外部系统对接的trust.jks证书和密码。

  1. 使用FileZilla工具以ossuser用户将外部系统的trust.jks证书文件上传到eSight主备节点的“/opt/eSight/AppBase/etc/ies”目录中。
  2. 使用PuTTY工具以ossuser用户登录eSight主节点和eSight备节点。
  3. 主备节点上都要执行以下操作,修改“config.properties”配置文件。

    1. 执行以下命令修改配置参数。

      cd /opt/eSight/AppBase/tools

      ./modifyConfig.sh

      系统显示类似如下信息:
      No    Key                     Value
      1     ER_IP                   
      2     ER_port                 
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      192.168.10.12
      7     ApiGateway_Host_Port    26335
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  3
      11    eSight_Token_Name       eSightAPI
      12    eSight_Token_Value      9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      13    ApiGateway_Token_Time   10
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           
      Please input the number of key(q to quit):
    2. 输入TrustStorePwd参数的序号“17”,按“Enter”,系统显示如下信息:
      Please input the value of TrustStorePwd(q to cancel):
    3. 输入TrustStorePwd参数的值,即ER信任证书的密码,按“Enter”。

      TrustStorePwd参数对应的Value栏中显示输入的值,表示配置成功,如下:

      No    Key                     Value
      1     ER_IP                   
      2     ER_port                 
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      192.168.10.12
      7     ApiGateway_Host_Port    26335
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  3
      11    eSight_Token_Name       eSightAPI
      12    eSight_Token_Value      9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      13    ApiGateway_Token_Time   10
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      Please input the number of key(q to quit):
    4. 输入“q” 保存修改并退出。

  4. 重新启动eSight双机系统,使配置生效。

eSight为单机部署时,更新与外部系统对接的trust.jks证书和密码。

  1. 使用FileZilla工具以ossuser用户将外部系统的trust.jks证书文件上传到eSight节点的“/opt/eSight/AppBase/etc/ies”目录中。
  2. 使用PuTTY工具以ossuser用户登录eSight节点。
  3. 执行以下操作,修改“config.properties”配置文件。

    1. 执行以下命令修改配置参数。

      cd /opt/eSight/AppBase/tools

      ./modifyConfig.sh

      系统显示类似如下信息:
      No    Key                     Value
      1     ER_IP                   
      2     ER_port                 
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      192.168.10.12
      7     ApiGateway_Host_Port    26335
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  3
      11    eSight_Token_Name       eSightAPI
      12    eSight_Token_Value      9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      13    ApiGateway_Token_Time   10
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           
      Please input the number of key(q to quit):
    2. 输入TrustStorePwd参数的序号“17”,按“Enter”,系统显示如下信息:
      Please input the value of TrustStorePwd(q to cancel):
    3. 输入TrustStorePwd参数的值,即ER信任证书的密码,按“Enter”。

      TrustStorePwd参数对应的Value栏中显示输入的值,表示配置成功,如下:

      No    Key                     Value
      1     ER_IP                   
      2     ER_port                 
      3     PmdataNotToDB           false
      4     Performance_Select      true
      5     Alarm_Select            true
      6     ApiGateway_Host_IP      192.168.10.12
      7     ApiGateway_Host_Port    26335
      8     ApiGateway_StandBy_IP   
      9     ApiGateway_StandBy_Port 
      10    ApiGateway_Retry_Times  3
      11    eSight_Token_Name       eSightAPI
      12    eSight_Token_Value      9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      13    ApiGateway_Token_Time   10
      14    KeyStorePath            /opt/eSight/AppBase/etc/ies/server.p12
      15    KeyStorePwd             9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      16    TrustStorePath          /opt/eSight/AppBase/etc/ies/trust.jks
      17    TrustStorePwd           9d7961bc8af54d05ce509e03b13ffce3abc7587373e7719b62555fd5aff9908d
      Please input the number of key(q to quit):
    4. 输入“q” 保存修改并退出。

  4. 重新启动eSight,使配置生效。
翻译
下载文档
更新时间:2019-11-22

文档编号:EDOC1100011879

浏览量:32028

下载量:264

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页