所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

eSight V300R009C00 维护指南 11

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
部署OMMHA安全证书

部署OMMHA安全证书

更新OMMHA证书

介绍OMMHA证书替换和密码修改的方法。

背景信息

  • 证书介绍

    证书

    用途

    名称

    路径

    根证书

    根证书,签发服务器证书

    root-ca.crt

    /opt/ommha/ha/local/cert/root-ca.crt

    根证书私钥

    根证书私钥,签发服务器证书

    root-ca.pem

    /opt/ommha/ha/local/cert/root-ca.pem

    服务器证书

    服务器证书,用于主备机SSL通信

    server.crt

    /opt/ommha/ha/local/cert/server.crt

    服务器证书私钥

    服务器证书私钥,用于主备机SSL通信

    server.pem

    /opt/ommha/ha/local/cert/server.pem

  • 证书约束
    • 证书认证会校验此参数的合法性,因此服务器证书的“common-name”和“IP-DNS”字段不能随意填写,应该设置为当前服务器的心跳IP地址。
    • eSight主备服务器上部署的证书必须由相同根证书签发。
    • OMMHA证书初始密码为安装时生成的随机密码。

替换证书

OMMHA双机支持客户配置自己的SSL证书。

  1. root用户登录备用服务器。

    如果Linux操作系统进行了安全加固,远程登录时,请以ossuser用户登录后切换到root用户。

  2. 将根证书、根证书私钥、服务器证书、服务器证书私钥分别复制到服务器上的“/opt/ommha/ha/local/cert/”目录下。
  3. 执行如下命令设置文件属性。

    #chown ossuser:ossgroup /opt/ommha/ha/local/cert/*

    #chmod 640 /opt/ommha/ha/local/cert/*

  4. 执行如下命令设置环境变量。

    #su - ossuser

    cd /opt/ommha/ha/module/hacom/tools

    export LD_LIBRARY_PATH=/opt/ommha/ha/tools/lib

  5. 执行如下命令获取服务器证书加密密码。假设希望设置服务器证书密码为“Changeme_123”。

    ./key-tool -e Changeme_123

    系统返回如下类似信息:

    Updated key component success. 
    Encrypted password : GQiANGZ7/3RweeZ4XTi6Mll7fH/24IfXnh5cogHRlxw=
  6. 执行如下命令配置证书。

    cd /opt/ommha/ha/module/hacom/script

    ./config_ha.sh -S ssl=true,twoway=true,keypass=GQiANGZ7/3RweeZ4XTi6Mll7fH/24IfXnh5cogHRlxw=

    其中GQiANGZ7/3RweeZ4XTi6Mll7fH/24IfXnh5cogHRlxw=即为5中得到的“Encrypted password”。

  7. 执行如下命令停止备用服务器。

    cd /opt/ommha/ha/bin

    ./stop.sh

  8. 在主用服务器上重复执行16
  9. 执行如下命令重启主用服务器。

    cd /opt/ommha/ha/bin

    ./stop.sh

    等待OMMHA停止成功后,再执行启动命令:

    ./start.sh

  10. ossuser用户登录备用服务器。
  11. 启动备用服务器。

    cd /opt/ommha/ha/bin

    ./start.sh

修改证书密码

  1. root用户登录eSight主服务器。

    如果Linux操作系统进行了安全加固,远程登录时,请以ossuser用户登录后切换到root用户。

    执行如下命令开启root用户通过ssh远程登录服务器的权限。

    # cd /opt/ommha/config

    #./sshdPermitRootLogin.sh -y

  2. 执行如下命令修改OMMHA证书密码。

    # cd /opt/ommha/config

    # chmod u+x create_ommha_cert.sh

    # ./create_ommha_cert.sh

  3. 根据提示输入备用服务器root用户密码。
    Please input remote root password:
  4. 根据提示输入新的OMMHA证书密码,并确认。
    Please input ommha certificate password:  
    Please input ommha certificate password again:
  5. (可选)执行如下命令禁止root用户通过ssh远程登录。

    为提高系统安全性,禁止root用户通过ssh远程登录服务器的权限。

    # cd /opt/ommha/config

    # ./sshdPermitRootLogin.sh -n

更新主备服务器互信密钥

OMMHA双机文件复制使用主备服务器互信机制,互信密钥对私钥密码支持修改。

背景信息

主备节点互信:主备服务器使用系统命令ssh-keygen生成密钥对,将公钥复制到对端节点.ssh目录下,通过SSH访问对端节点时只需输入密钥密码即可登录。互信不随主备服务器用户密码变更而变更。互信初始密码为安装时生成的随机密码。

操作步骤

  1. ossuser用户登录eSight主用服务器。
  2. 执行如下命令修改互信密钥对私钥密码。

    cd /opt/eSight/mttools/ha/filecopy

    sh credit.sh

  3. 根据系统提示依次输入备用服务器心跳IP地址和ossuser用户密码

    Please input the IP address for the standby node:  
    Please input the standby node password for ossuser:

  4. 根据系统提示输入新密钥对的私钥密码,新密码需要包含大写字母、小写字母、数字和特殊字符。

    Please input the password for certificate private key:  
    Please input the password again:  
    build credit...  
    build credit finish.

    系统显示“build credit finish”表示密码修改成功。

  5. 检查新的互信是否生效。

    1. 在主用服务器上通过ssh访问备用服务器。

      ssh 备用服务器的心跳IP地址

    2. 按照系统提示输入密钥对私钥密码。
      You are trying to access a restricted zone. Only Authorized Users allowed. 
      Enter passphrase for key '/ossuser/.ssh/id_rsa': 

      系统显示如下信息表示成功登录备用服务器,互信生效。

      Last login: Fri Jun  2 17:01:47 2017 from 10.137.97.52 
      ossuser@eSightServer1:/ossuser>

翻译
下载文档
更新时间:2019-11-22

文档编号:EDOC1100011879

浏览量:32039

下载量:264

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页