所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
证书管理

证书管理

更新服务部署证书

ManageOne提供的多种业务间均采用了SSL(Secure Sockets Layer)模式通信。此模式要求ManageOne必须部署ER(External Route)、IR(Internal Route)及IR的CA根证书等服务部署证书。定期更新服务部署证书可以保证进行业务操作时的安全通信。

证书介绍

ManageOne提供的多种业务都采用更安全的通信方式——SSL(Secure Sockets Layer)模式通信,需要使用证书,如服务端各业务之间的通信。

ManageOne当前支持部署ER(External Route)和IR(Internal Route)证书。

  • ER证书由各服务部署时安装,各服务需要定期更新此证书。
  • IR证书是信任域的证书,由ManageOne部署时安装,此证书的默认有效期为20年,证书过期前,需要更新IR证书,IR证书更新完会同步更新各服务的证书。

ManageOne支持如表6-15所示的证书格式。

表6-15 支持的证书格式

证书格式

说明

CSR

CSR(Certificate Signing Request)即证书请求文件,也就是证书申请者在申请数字证书时由CSP(Cryptographic Service Provider)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。

通常CSR文件是在拿到参考码、授权码进行证书签发和下载时,通过网页提交给CA(Certificate Authority)的。此文件也可以由浏览器自动生成。

PEM

Openssl使用PEM(Privacy-enhanced Electronic Mail)格式来存放各种信息,它是openssl默认采用的信息存放方式。Openssl中的PEM文件一般包含如下信息:内容类型、头信息和信息体。

CER

通常是二进制DER编码格式,基于Base64编码的证书格式也很常见(如PEM格式)。

JKS

JKS格式的证书可使用Java提供的工具keytool生成。JKS格式的证书可以包含完整的证书密钥对、证书链和信任证书信息。JKS常用于Java类的WEB服务器,如Tomcat、WebLogic和JBoss。

PFX

PFX(Personal Information Exchange)公钥加密技术12号标准(Public Key Cryptography Standards #12,PKCS#12)为存储和传输用户或服务器私钥、公钥和证书指定了一个可移植的格式。它是一种二进制格式,这些文件也称为PFX文件。文件扩展名为.pfx或p12。

PFX常用于Windows IIS服务器。通常需要将PFX文件转换为某些不同的格式,如PEM或JKS,以便可以为SSL通信的独立Java客户端或WebLogic Server使用。

DER

DER是BER(误码率)的限制变体,用来产生ASN.1中定义的数据结构的明确传输语法。和CER一样,DER编码是有效的BER编码。DER和BER基本是一样的。但是和BER相比,DER删除了发送方选项。

获取ER证书
前提条件
  • 已向证书官方机构申请ER证书保存至本地,并已获取证书的密码。
  • 已提供主、备节点的域名或浮动IP地址(没有配置域名情况下)。
  • 已备份部署面主、备节点任意一个节点上的ER证书。
  • 已备份运维面主、备节点任意一个节点上的ER证书。
  • 已备份运营面主、备节点任意一个节点上的ER证书。
    说明:

    ER证书的存放路径如下:

    • 部署面:/opt/oss/manager/etc/ssl/er
    • 运维面:/opt/oss/Product/etc/ssl/er
    • 运营面:/opt/oss/Product/etc/ssl/er
注意事项
  • 需提供格式为PFX证书文件,将已提供的证书转换格式,并生成证书的密钥文件,用于替换主备节点上的原证书和密钥。
  • 密码必须符合以下规则:
    1. 最少8个字符,最多不超过32个字符。
    2. 至少包括如下四种字符:大写字母、小写字母、数字和特殊字符(包括!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~ 以及空格)。
    3. 密码中不支持单引号和双引号并存。
  • 以下操作步骤以部署面域名:ocdeploy.mydomain.com、运维面域名:oc.mydomain.com 、运营面域名:sc.mydomain.com 为例。
  • 以下操作步骤以部署面证书:ocdeploy.mydomain.com.pfx、运维面证书:oc.mydomain.com.pfx、运营面证书:sc.mydomain.com.pfx为例。
操作步骤
  1. 使用PuTTY工具以sopuser用户登录部署面主节点。
  2. 执行如下命令,切换到root用户。

    sudo su - root

  3. 执行如下命令,创建目录“/tmp/cert”。

    mkdir -p /tmp/cert

    chown -R sopuser:wheel /tmp/cert/

  4. 使用FileZilla工具以sopuser用户将如下证书上传至部署面主节点“/tmp/cert/”目录下。

    • ocdeploy.mydomain.com.pfx
    • oc.mydomain.com.pfx
    • sc.mydomain.com.pfx
    说明:

    证书名称请以实际环境为准。

  5. 生成证书。

    1. 使用PuTTY工具以sopuser用户登录部署面主节点。
    2. 执行如下命令,切换到root用户下。

      sudo su - root

    3. 执行如下命令,创建证书的存放路径。

      mkdir -p /tmp/cert/mg

      mkdir -p /tmp/cert/om

      mkdir -p /tmp/cert/sc

    4. 执行如下命令,移动证书至5.c创建的路径并修改属组和权限。

      mv /tmp/cert/ocdeploy.mydomain.com.pfx /tmp/cert/mg/

      mv /tmp/cert/oc.mydomain.com.pfx /tmp/cert/om/

      mv /tmp/cert/sc.mydomain.com.pfx /tmp/cert/sc/

      chown -R ossadm:ossgroup /tmp/cert/

      su - ossadm

    5. 执行如下命令,依次生成部署面的ER证书。

      cd /tmp/cert/mg

      openssl pkcs12 -in ocdeploy.mydomain.com.pfx -out server.cer -nokeys

      当出现如下信息时,输入“pfx格式证书密码”。

      Enter Import Password:

      openssl pkcs12 -in ocdeploy.mydomain.com.pfx -out trust.cer -nokeys -cacerts

      当出现如下信息时,输入“pfx格式证书密码”。

      Enter Import Password:

      openssl pkcs12 -in ocdeploy.mydomain.com.pfx -out server_key.pem

      当出现如下信息时,输入“pfx格式证书密码”。

      Enter Import Password:

      openssl rsa -in server_key.pem -aes128 -out server_key.pem

      当出现如下信息时,输入“pem格式证书密码”。

      writing RSA key
      Enter PEM pass phrase:
      Verifying - Enter PEM pass phrass:
      说明:

      pfx格式证书密码和pem格式证书密码可以不相同。

    6. 参考步骤 5,分别在运维面和运营面证书存放路径下生成运维面和运营面证书。

  6. 5.e5.f中在主部署面主节点生成的如下证书复制到部署面备节点相同的路径下。

    • server.cer
    • trust.cer
    • server_key.pem

更新部署面ER证书
操作场景

MangeOne安装部署后系统提供默认ER证书保障各服务的正常运行,但用户未将证书更新为证书官方机构颁发的证书时,在登录过程中会有如下提示:

  • 当浏览器是“Internet Explorer”时,提示“此网站的安全证书存在问题”。
  • 当浏览器是“Google Chrome”时,提示“您的连接不是私密连接”。
  • 当浏览器是“Mozilla Firefox”时,提示“您的连接并不安全”。
    说明:

    浏览器推荐使用版本:Internet Explorer 10至Internet Explorer 11版本、Google Chrome 50至Google Chrome 60版本、Firefox 38至Firefox 54版本。

对系统的影响

系统提供的默认证书能保障服务的正常使用,有效期为20年,建议用户定期更新证书,降低安全风险。

前提条件

已获取如下部署面ER证书。

  • server.cer:服务器身份证书。
  • server_key.pem:服务器身份证书对应的私钥。
  • trust.cer:服务器信任证书。
注意事项
  • 请按如下顺序重启主备节点进程,否则会发生主备倒换。
    1. 停止备节点进程。
    2. 停止主节点进程。
    3. 启动主节点进程。
    4. 启动备节点进程。
  • 密码必须符合以下规则:
    1. 最少8个字符,最多不超过32个字符。
    2. 至少包括如下四种字符:大写字母、小写字母、数字和特殊字符(包括!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~ 以及空格)。
    3. 密码中不支持单引号和双引号并存。
  • 默认部署面ER证书存放路径:

    /opt/oss/manager/etc/ssl/er

操作步骤:
  1. sopuser用户登录部署面备节点。
  2. 执行如下命令,切换到ossadm用户。

    su - ossadm

  3. 执行如下命令,停止备节点。

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd stopnode

  4. 执行如下命令,切换到root用户。

    sudo su - root

    Password:

  5. 执行如下命令,移动新证书并修改属组和权限。

    mv /tmp/cert/mg/* /tmp/cert

    chown -R ossadm:ossgroup /tmp/cert

    chmod -R 750 /tmp/cert

  6. 执行如下命令,切换到ossadm用户。

    su - ossadm

  7. 执行如下命令,替换部署面ER证书。

    cd /opt/oss/manager/agent/bin

    ./osskey -cmd replace_certs -in /tmp/cert

    当出现如下信息时,输入“Y”。

    If you perform this operation,services need to be restarted,which causes service interruption.
    Exercise caution when performing this operation.
    Are you sure to replace certs(Y/N):
    输入新证书申请时的密码和要替换的证书新密码。
    The Input Password:
    New Output Password:
    Reenter New Output Password:
    ...
    SSL certificates have been replaced successfully.

    当显示如下信息时,表示替换证书成功。

    Execute osskey cmd type:replace_certs Successful.

    执行成功后,证书保存到“/opt/oss/manager/etc/ssl/er”。

    说明:

    替换完成后,请删除目录“/tmp/cert”。

  8. 在主节点上执行步骤 1步骤 7
  9. 备节点、主节点全部执行完毕之后,先启动主节点,然后启动备节点。

    主节点:

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd startnode

    备节点:

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd startnode

后续处理

验证更新ER证书是否成功

  • 更新成功,可查看证书信息并成功登录ManageOne部署面。
    1. 打开浏览器进行登录。

      登录地址:https://ManageOne部署面浮动IP地址:31943。

    2. 打开查看证书界面。
      • 当浏览器是“Internet Explorer”时,单击地址栏右上角中的,在“证书无效”提示框中,单击“查看证书”。
      • 当浏览器是“Google Chrome”时,按“F12”,在浏览器的调试框中选择“安全 > 查看证书”。
      • 当浏览器是“Mozilla Firefox”时,展开“我已充分了解可能的风险”,单击“添加例外”,在“添加安全例外”界面中,单击“查看”。
    3. 单击“常规”。查看证书信息“颁发给”、“颁发者”和“有效期”。
    4. 检查是否能成功登录ManageOne部署面。
      • 是,则更新ER证书成功。
      • 否,请联系技术支持处理。
  • 更新失败,请联系技术支持处理。

更新运维面ER证书
操作场景

MangeOne安装部署后系统提供默认ER证书保障各服务的正常运行,但用户未将证书更新为证书官方机构颁发的证书时,在登录过程中会有如下提示:

  • 当浏览器是“Internet Explorer”时,提示“此网站的安全证书存在问题”。
  • 当浏览器是“Google Chrome”时,提示“您的连接不是私密连接”。
  • 当浏览器是“Mozilla Firefox”时,提示“您的连接并不安全”。
    说明:

    浏览器推荐使用版本:Internet Explorer 10至Internet Explorer 11版本、Google Chrome 50至Google Chrome 60版本、Firefox 38至Firefox 54版本。

对系统的影响

系统提供的默认证书能保障服务的正常使用,有效期为20年,建议用户定期更新证书,降低安全风险。

前提条件

已获取如下运维面ER证书。

  • server.cer:服务器身份证书。
  • server_key.pem:服务器身份证书对应的私钥。
  • trust.cer:服务器信任证书。
注意事项
  • 请按如下顺序重启主备节点进程,否则会发生主备倒换。
    1. 停止备节点进程。
    2. 停止主节点进程。
    3. 启动主节点进程。
    4. 启动备节点进程。
  • 密码必须符合以下规则:
    1. 最少8个字符,最多不超过32个字符。
    2. 至少包括如下四种字符:大写字母、小写字母、数字和特殊字符(包括!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~ 以及空格)。
    3. 密码中不支持单引号和双引号并存。
  • 默认运维面ER证书存放路径:

    /opt/oss/Product/etc/ssl/er

操作步骤
  1. 使用PuTTY工具以sopuser用户登录运维面备节点。
  2. 执行如下命令,切换到root用户。

    sudo su - root

  3. 执行如下命令,创建目录“/tmp/cert”。

    mkdir -p /tmp/cert

    chown -R sopuser:wheel /tmp/cert/

  4. 使用FileZilla工具以sopuser用户将如下证书上传至备节点“/tmp/cert/”目录下。

    • server.cer
    • trust.cer
    • server_key.pem
    说明:

    server.cer、trust.cer、server_key.pem证书存放在部署面主节点目录“/tmp/cert/om”下,获取方式参见获取ER证书

  5. 执行如下命令,并切换到ossadm用户。

    su - ossadm

  6. 执行如下命令,停止备节点。

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd stopnode

  7. 执行如下命令,切换到root用户。

    sudo su - root

    Password:

  8. 执行如下命令,设置新证书的属组和权限.

    chown -R ossadm:ossgroup /tmp/cert

    chmod -R 750 /tmp/cert

  9. 执行如下命令,切换到ossadm用户。

    su - ossadm

  10. 执行如下命令,替换运维面ER证书。

    cd /opt/oss/manager/agent/bin

    • 管理目录证书更新

    ./osskey -cmd replace_certs -in /tmp/cert

    • 产品目录证书更新

    ./osskey -cmd replace_certs -tenant Product -in /tmp/cert

    当出现如下信息时,输入“Y”。

    If you perform this operation,services need to be restarted,which causes service interruption.
    Exercise caution when performing this operation.
    Are you sure to replace certs(Y/N):
    输入新证书申请时的密码和要替换的证书新密码。
    The Input Password:
    New Output Password:
    Reenter New Output Password:
    ...
    SSL certificates have been replaced successfully.

    当出现如下信息时,表示替换证书成功。

    Execute osskey cmd type:replace_certs Successful.

    执行成功后,证书保存到“/opt/oss/Product/etc/ssl/er”和“/opt/oss/manager/etc/ssl/er”。如果是分布式系统,证书均放置在每个节点上述相同的路径中。

    说明:
    • 产品目录证书更新时,默认产品名称是Product,如果产品名称不是Product,请根据实际名称替换Product。
    • 替换完成后,请删除目录“/tmp/cert”。

  11. 在主节点上执行步骤 1步骤 10
  12. 备节点、主节点全部执行完毕之后,先启动主节点,然后启动备节点。

    主节点:

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd startnode

    备节点:

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd startnode

    说明:

    运维面ER证书更新后,需要通知对接ManageOne SSO服务的系统更新SSO证书。

后续处理

验证更新ER证书是否成功

  • 更新成功,可查看证书信息并成功登录运维面。
    1. 打开浏览器进行登录。

      打登录地址:https://ManageOne运维面主页的访问地址:31943。例如,https://oc.type.com:31943。

    2. 打开查看证书界面。
      • 当浏览器是“Internet Explorer”时,单击地址栏右上角中的,在“证书无效”提示框中,单击“查看证书”。
      • 当浏览器是“Google Chrome”时,按“F12”,在浏览器的调试框中选择“安全 > 查看证书”。
      • 当浏览器是“Mozilla Firefox”时,展开“我已充分了解可能的风险”,单击“添加例外”,在“添加安全例外”界面中,单击“查看”。
    3. 单击“常规”。查看证书信息“颁发给”、“颁发者”和“有效期”。
    4. 检查是否能成功登录ManageOne运维面。
      • 是,则更新ER证书成功。
      • 否,请联系技术支持工程师处理。
  • 更新失败,请联系技术支持工程师处理。

证书依赖关系

微服务应用管理服务与ManageOne的通信依赖于ManageOne运维面ER证书,若ManageOne运维面ER证书更换,请同步替换微服务应用管理服务的证书。

更新运营面ER证书
操作场景

MangeOne安装部署后系统提供默认ER证书保障各服务的正常运行,但用户未将证书更新为证书官方机构颁发的证书时,在登录过程中会有如下提示:

  • 当浏览器是“Internet Explorer”时,提示“此网站的安全证书存在问题”。
  • 当浏览器是“Google Chrome”时,提示“您的连接不是私密连接”。
  • 当浏览器是“Mozilla Firefox”时,提示“您的连接并不安全”。
    说明:

    浏览器推荐使用版本:Internet Explorer 10至Internet Explorer 11版本、Google Chrome 50至Google Chrome 60版本、Firefox 38至Firefox 54版本。

对系统的影响

系统提供的默认证书能保障服务的正常使用,有效期为20年,建议用户定期更新证书,降低安全风险。

前提条件

已获取如下运营面ER证书。

  • server.cer:服务器身份证书。
  • server_key.pem:服务器身份证书对应的私钥。
  • trust.cer:服务器信任证书。
注意事项
  • 请按如下顺序重启主备节点进程,否则会发生主备倒换。
    1. 停止备节点进程。
    2. 停止主节点进程。
    3. 启动主节点进程。
    4. 启动备节点进程。
  • 密码必须符合以下规则:
    1. 最少8个字符,最多不超过32个字符。
    2. 至少包括如下四种字符:大写字母、小写字母、数字和特殊字符(包括!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~ 以及空格)。
    3. 密码中不支持单引号和双引号并存。
  • 默认运营面ER证书存放路径:

    /opt/oss/Product/etc/ssl/er

操作步骤
  1. 使用PuTTY工具以sopuser用户登录运营面备节点。
  2. 执行如下命令,切换到root用户。

    sudo su - root

  3. 执行如下命令,创建目录“/tmp/cert”。

    mkdir -p /tmp/cert

    chown -R sopuser:wheel /tmp/cert/

  4. 使用FileZilla工具以sopuser用户将如下证书上传至备节点“/tmp/cert/”目录下。

    • server.cer
    • trust.cer
    • server_key.pem
    说明:

    server.cer、trust.cer、server_key.pem证书存放在部署面主节点目录“/tmp/cert/sc”下,获取方式参见获取ER证书

  5. 执行如下命令,并切换到ossadm用户。

    su - ossadm

  6. 执行如下命令,停止备节点。

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd stopnode

  7. 执行如下命令,切换到root用户。

    sudo su - root

    Password:

  8. 执行如下命令,设置新证书的属组和权限.

    chown -R ossadm:ossgroup /tmp/cert

    chmod -R 750 /tmp/cert

  9. 执行如下命令,切换到ossadm用户。

    su - ossadm

  10. 执行如下命令,替换运营面ER证书。

    cd /opt/oss/manager/agent/bin

    • 管理目录证书更新

    ./osskey -cmd replace_certs -in /tmp/cert

    • 产品目录证书更新

    ./osskey -cmd replace_certs -tenant Product -in /tmp/cert

    当出现如下信息时,输入“Y”。

    If you perform this operation,services need to be restarted,which causes service interruption.
    Exercise caution when performing this operation.
    Are you sure to replace certs(Y/N):
    输入新证书申请时的密码和要替换的证书新密码。
    The Input Password:
    New Output Password:
    Reenter New Output Password:
    ...
    SSL certificates have been replaced successfully.

    当出现如下信息时,表示替换证书成功。

    Execute osskey cmd type:replace_certs Successful.

    执行成功后,证书保存到“/opt/oss/Product/etc/ssl/er”和“/opt/oss/manager/etc/ssl/er”。如果是分布式系统,证书均放置在每个节点上述相同的路径中。

    说明:
    • 产品目录证书更新时,默认产品名称是Product,如果产品名称不是Product,请根据实际名称替换Product。
    • 替换完成后,请删除目录“/tmp/cert”。

  11. 在主节点上执行步骤 1步骤 10
  12. 备节点、主节点全部执行完毕之后,先启动主节点,然后启动备节点。

    主节点:

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd startnode

    备节点:

    . /opt/oss/manager/agent/bin/engr_profile.sh

    ipmc_adm -cmd startnode

后续处理

验证更新ER证书是否成功

  • 更新成功,可查看证书信息并成功登录运营面。
    1. 打开浏览器,以运营管理员帐号登录ManageOne运营面。

      非B2B场景登录地址:https://控制台主页的访问地址。例如,https://console.type.com。

      B2B场景登录地址:https://运营管理员的访问地址。例如,https://adminconsole.type.com。

    2. 打开查看证书界面。
      • 当浏览器是“Internet Explorer”时,单击地址栏右上角中的,在“证书无效”提示框中,单击“查看证书”。
      • 当浏览器是“Google Chrome”时,按“F12”,在浏览器的调试框中选择“安全 > 查看证书”。
      • 当浏览器是“Mozilla Firefox”时,展开“我已充分了解可能的风险”,单击“添加例外”,在“添加安全例外”界面中,单击“查看”。
    3. 单击“常规”。查看证书信息“颁发给”、“颁发者”和“有效期”。
    4. 检查是否能成功登录ManageOne运营面。
      • 是,则更新ER证书成功。
      • 否,请联系技术支持处理。
  • 更新失败,请联系技术支持处理。

证书依赖关系

ECS、VPC、SMN、FusionGuard、Karbor、RDS、Oracle、OBS、SFS等云服务与ManageOne的通信依赖于ManageOne运营面ER证书,若ManageOne运营面ER证书更换,请同步替换具有依赖关系的云服务证书。

更新IR证书

IR证书是信任域的证书,由平台部署时安装。

背景信息
  • IR证书保存在“<安装目录>/<产品名称>/etc/ssl/internal”和“<管理面安装目录>/etc/ssl/internal”。如果是分布式系统,证书存放在每个节点上的相同位置。
  • IR证书包括如下文件:
    • manifest.json:证书配置文件。
    • server.cer:服务器身份证书文件。
    • server.p12:p12格式的证书。
    • server_key.pem:服务器身份证书对应的私钥。
    • trust.cer:服务器的信任证书文件。
    • trust.jks:jks格式的信任证书文件。
  • 对于IR证书,如果证书文件“server.cer”即将过期而信任证书“trust.cer”仍在有效期内时,需要参考本章节手动执行命令更新“server.cer”。当信任证书“trust.cer”过期时,则需要手动执行命令更新信任证书“trust.cer”,请参考更新IR的CA证书
注意事项
  • 执行更新证书命令会自动重启平台才能生效,请在业务量小的时候进行操作。
  • 执行更新证书操作前建议先备份原证书文件。
  • 若存在主备节点时,请按如下顺序重启主备节点进程,否则会发生主备倒换。
    1. 停止备节点进程。
    2. 停止主节点进程。
    3. 启动主节点进程。
    4. 启动备节点进程。
操作步骤
  1. 使用FileZilla工具以sopuser用户将IR证书保存在“<安装目录>/<产品名称>/etc/ssl/internal”和“<管理面安装目录>/etc/ssl/internal”。如果是分布式系统,证书存放在每个节点上的相同位置。

    证书文件权限和原文件的保持一致。执行更新证书操作前建议先备份原证书文件。

  2. 更新证书密码 。

    说明:

    系统不支持仅更新密码而不更新证书。

    1. 以sopuser用户登录服务器,执行如下命令获取要加密的新密码的密文。

      su - ossadm

      . <安装目录>/manager/bin/engr_profile.sh

      cd <安装目录>/manager/agent/bin

      ./osskey -cmd encryptpasswd
      说明:
      1. 请使用交互式输入密码。
      2. 密码必须符合以下规则。
      • 最少10个字符,最多32个字符。
      • 至少包括如下四种字符:大写字母、小写字母、数字和特殊字符(包括!"#$%&'()*+,-./:;<=>?@[]^`{_|}~ 以及空格)。
      • 同一字符连续出现次数不能超过2次。
      • 同一字符出现次数不能超过3次。
    2. 打开文件“<安装目录>/manager/agent/etc/mcagent.conf”,将文件中的“manifest_default_pass”的值替换成上一步生成的新密码密文。
    说明:

    如果是分布式环境,则需要在所有节点执行此步骤。

  3. 更新IR证书

    • 单机系统
      1. ossadm用户登录节点。
      2. 执行如下命令更新Internal证书:

        cd <安装目录>/manager/agent/bin

        ./osskey -cmd replace_ircerts

      3. 执行如下命令重启平台

        . <安装目录>/manager/bin/engr_profile.sh

        ipmc_adm -cmd stopnode

        ipmc_adm -cmd startnode

    • 分布式系统
      1. ossadm用户登录主管理节点。
      2. 执行如下命令更新IR证书:

        cd <安装目录>/manager/agent/bin

        ./osskey -cmd replace_ircerts

      3. 依次登录分布式系统中其他节点,执行如下命令更新IR证书

        cd <安装目录>/manager/agent/bin

        ./osskey -cmd replace_ircerts

      4. 执行如下命令重启平台,每个节点都需要执行。

        . <安装目录>/manager/bin/engr_profile.sh

        ipmc_adm -cmd stopnode

        ipmc_adm -cmd startnode

  4. 更新扩容节点的IR证书

    如果更新了IR证书的密码后存在扩容节点,需要执行以下步骤完成扩容节点的IR证书及密码的更新。

    1. 把扩容节点“<安装目录>/manager/agent/etc/mcagent.conf”文件中“manifest_default_pass”对应的值替换成主管理节点相同文件中对应的值。

      vim <安装目录>/manager/agent/etc/mcagent.conf

      修改完成后执行:wq!命令,保存并退出编辑模式。

    2. 删除“<安装目录>/<产品名称>/etc/ssl/internal”和“<安装目录>/manager/etc/ssl/internal”目录下的所有Internal证书文件。

      su - root

      rm -rf<安装目录>/<产品名称>/etc/ssl/internal/*

      rm -rf<安装目录>/manager/etc/ssl/internal/*

    3. 切换到ossadm用户,执行如下命令重新导出证书,等待10秒deployagent被拉起:

      ps -ef | grep deployagent| grep -v grep | awk '{print $2}' |xargs kill -9

    4. 切换到root用户待进程拉起后,使用如下命令同步证书:

      bash /opt/sudobin2/osssynckey.sh

    5. 以ossadm用户登录从节点,重启节点管理面、数据库、总线和应用进程服务。

      . <安装目录>/manager/bin/engr_profile.sh

      ipmc_adm -cmd stopnode

      ipmc_adm -cmd startnode

更新IR的CA证书

平台支持替换IR的CA证书,本章介绍更新CA证书的操作步骤。

背景信息

IR的CA证书保存在“<管理面安装目录>/var/ca/”。CA证书只存在于管理节点。

IR的CA证书包括如下文件:
  • ca.cer:根证书的身份证书文件。
  • ca.csr:根证书的请求证书文件。
  • ca_key.pem:根证书的身份证书对应的私钥。
注意事项
  • 执行更新证书命令会自动重启平台才能生效,请在业务量小的时候进行操作。
  • 执行更新证书操作前建议先备份原证书文件。
  • 若存在主备节点时,请按如下顺序重启主备节点进程,否则会发生主备倒换。
    1. 停止备节点进程。
    2. 停止主节点进程。
    3. 启动主节点进程。
    4. 启动备节点进程。
操作步骤
  1. 使用FileZilla工具以sopuser用户将IR的CA证书保存在“<管理面安装目录>/var/ca/”。CA证书只存在于管理节点。

    证书文件权限和原文件的保持一致。执行更新证书操作前建议先备份原证书文件。

  2. (可选)更新证书密码。

    说明:

    系统不支持仅更新密码而不更新证书。

    1. sopuser用户登录服务器,执行如下命令获取要加密的新密码的密文。

      su - ossadm

      . <安装目录>/manager/bin/engr_profile.sh

      cd <安装目录>/manager/agent/bin

      ./osskey -cmd encryptpasswd

      说明:
      1. 请使用交互式输入密码。
      2. 密码必须符合以下规则。
      • 最少10个字符,最多32个字符。
      • 至少包括如下四种字符:大写字母、小写字母、数字和特殊字符(包括!"#$%&'()*+,-./:;<=>?@[]^`{_|}~ 以及空格)。
      • 同一字符连续出现次数不能超过2次。
      • 同一字符出现次数不能超过3次。
    2. 执行如下命令,将mcagent.conf文件中的“manifest_default_pass”的值替换成上一步生成的新密码密文。

      vi <安装目录>/manager/agent/etc/mcagent.conf

    3. 先按“Esc”,然后执行:wq!命令,保存并推出编辑模式。
      说明:

      如果是分布式环境,则需要在所有节点执行23

  3. 更新CA证书

    • 单机系统
      1. sopuser用户登录服务器,并切换到ossadm用户。
      2. 停止节点管理面、数据库、总线和应用进程服务。

        . <安装目录>/manager/bin/engr_profile.sh

        ipmc_adm -cmd stopnode

      3. 执行如下命令更新IR的CA证书:

        cd <安装目录>/manager/agent/bin

        ./osskey -cmd replace_ircacerts

      4. 启动节点管理面、数据库、总线和应用进程服务。

        ipmc_adm -cmd startnode

    • 分布式系统
      1. 以sopuser用户依次登录各个节点,并切换到ossadm用户,执行如下命令停止节点管理面、数据库、总线和应用进程服务。

        . <安装目录>/manager/bin/engr_profile.sh

        ipmc_adm -cmd stopnode
        说明:

        若为HA场景,请严格按照注意事项中停止各节点进程的顺序进行停止。

      2. 登录主管理节点执行如下命令更新IR的CA证书。

        cd <安装目录>/manager/agent/bin

        ./osskey -cmd replace_ircacerts

      3. 执行如下命令启动主管理节点。

        . <安装目录>/manager/bin/engr_profile.sh

        ipmc_adm -cmd startnode

      4. 依次登录除主管理节点外的其他节点,执行如下命令更新IR证书。
        说明:

        考虑到主管理节点的性能,请在主管理节点启动1~2min后再执行此操作,避免证书更新操作执行失败。

        cd <安装目录>/manager/agent/bin

        ./osskey -cmd replace_ircerts

      5. 执行如下命令启动除主管理节点外的其他节点。

        . <安装目录>/manager/bin/engr_profile.sh

        ipmc_adm -cmd startnode

远程通知例行维护

ManageOne系统的远程通知例行维护的操作指导。

加密邮箱服务器SSL/TLS证书

设置远程通知中邮箱服务器时需导入邮箱服务器SSL/TLS证书,在此之前需要对证书格式进行转换,以确保证书成功地导入系统。

前提条件

keytoolJRE(Java Runtime Environment)命令,请确保该命令可执行。

操作步骤
  1. 获取邮箱服务器SSL/TLS证书,将该证书保存在PC中。

    说明:
    • 该证书用于系统和邮箱服务器之间的双向认证,只有双方均信任此证书,双方才能成功连通。

  2. 在PC的“开始 > 运行”中输入命令cmd,按“Enter”。
  3. 执行以下命令,进入keytool工具所在目录。

    cd /d <keytool工具所在目录>

    说明:

    “keytool工具所在目录”一般为“jdk安装路径/bin”。

  4. 在系统弹出的cmd窗口中,执行如下命令转换证书格式,并对密钥库进行加密。

    keytool -import -file <原证书存放路径>/<原证书名称> -keystore <格式转换后证书存放路径>/<格式转换后的证书名称>

    Enter keystore Password:
    Reenter New Password:

    格式转换后的证书名称扩展名为.keystore

    说明:
    • 密钥库密码需要用户自行设置,密码长度不能少于6个字符,且不超过32个字符。为了安全起见,建议密钥库密码符合如下复杂度要求:

      密码不能包含用户名或者用户名的倒序。

      至少包括一个大写字母(A~Z),一个小写字母(a~z),一个数字字符(0~9)。

      至少包括1个特殊字符(包括!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~ 以及空格)。

    • 请牢记此处设置的密码,导入证书时需填写该密码。

配置邮箱安全协议

远程通知中邮箱服务器支持配置是否启用SSL/TLS协议。如果选择启用SSL/TLS协议,需在数据库中配置协议版本号,以保证该协议为邮箱服务器所支持。

背景信息
  • 远程通知支持使用SMTP协议的邮箱服务器,并可对传输通道进行SSL/TLS加密,对接的邮箱服务器需要支持SMTP协议。
  • 远程通知服务默认为TLSv1.2协议。如果所使用的邮箱服务器支持其他协议,可通过以下步骤进行修改。

    由于此操作涉及对数据库的修改,如果修改不当,可能导致功能不可用,所以需谨慎操作。

操作步骤
  1. sopuser用户登录数据库节点。
  2. 执行如下命令切换到root用户。

    su - root
    Password:root用户密码

  3. 执行以下命令进入数据库。

    /opt/mysql/bin/mysql -u 数据库用户名 -p -h 数据库节点IP地址 -P 数据库实例端口号

    Enter password:数据库用户密码
    说明:

    数据库用户rplUser和readdbuser无法配置邮箱安全协议,请选择dbuser或ossdbuser进行配置。

  4. 执行如下命令进入远程通知数据库。

    use rndb;

  5. 执行如下命令配置安全连接协议。

    update tbl_rn_emailserver set sslprotocols = '{协议版本号}';

    说明:

    此处可配置多个协议,协议之间用英文逗号“,”分隔,协议版本号由前至后依次递增。如“TLSv1.1,TLSv1.2”

  6. (可选)如果存在主备数据库节点,请分别在主备数据库节点执行步骤 1步骤 5

转换PKI证书格式

更新UserService、IAMCoreService、IAMCacheProxyService和ServiceIdentityAccessService的PKI证书之前,需对证书格式进行转换。本节描述了PFX格式的证书转换为PKI证书的步骤。

前提条件
  • 已获取有效的PFX格式的CA证书文件。
操作步骤

本章以转换UserService的PKI证书为例,说明PFX格式的证书转换为PKI证书的步骤。

  1. 使用PuTTY工具以sopuser用户登录UserService所在节点。
  2. 执行以下命令,切换到root用户。

    su - root

    Password:root用户密码

  3. 在/home/ossuser路径下创建PKI证书存放文件夹。
  4. 使用FileZilla等上传工具,以root用户将PFX格式的CA证书文件上传至<PKI证书存放路径>下。
  5. 执行以下命令,将PFX格式证书转换为PKI证书文件。

    cd /home/ossuser/<PKI证书存放路径>

    openssl pkcs12 -in  <PFX证书文件名>.pfx -out signing_cert.pem -nokeys -clcerts

    在如下回显信息后输入PFX证书的密码:

    Enter Import Password:

    openssl pkcs12 -in  <PFX证书文件名>.pfx -out ca.pem -nokeys -cacerts

    在如下回显信息后输入PFX证书的密码:

    Enter Import Password:

    openssl pkcs12 -in   <PFX证书文件名>.pfx -nodes|openssl rsa -aes128 -out signing_key.pem

    在如下回显信息后输入PFX证书的密码:

    Enter Import Password:

    在如下回显信息后设置PEM证书的密码:

    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    说明:
    为了保证证书安全,pem格式证书密码需符合如下复杂度要求:
    • 长度为10~32个字符;
    • 至少包括如下四种字符:大写字母、小写字母、数字和特殊字符(包括!"#$%&'()*+,-./:;<=>?@[\]^`{_|}~ 以及空格);
    • 密码中同一个字符不能出现超过3次;
    • 密码中同一个字符不能连续出现超过2次。

  6. 执行如下命令,修改<PKI证书存放路径>下的文件的属主和权限保证ossuser用户可读。

    chown -R ossuser:ossgroup /home/ossuser/<PKI证书存放路径>

    chmod 550 /home/ossuser/<PKI证书存放路径>

更新用户认证证书

为了提高系统的安全性,需定期更新UserService服务的PKI(Public Key Infrastructure)证书。

更新UserService服务的PKI证书

UserService提供了手动更新PKI证书的功能,证书需要和OpenStack的证书保持一致。定期更新证书可提高系统的安全性。

说明:

缺省证书的有效期至2025年3月28日,为了帐户安全性,建议用户手动更新PKI证书。

前提条件
  • 更新证书前需要运维人员自行生成或购买signing_cert.pem、ca.pem和signing_key.pem这三个文件。获取步骤请参见转换PKI证书格式
    • signing_cert.pem:签名证书的公钥。
    • signing_key.pem:签名证书的私钥。
    • ca.pem:CA证书的公钥。
      说明:
      1. 执行证书替换会导致所有当前获取的token失效,当前登录的用户需要重新登录才能继续操作。
      2. 证书替换后,其他服务需要同步替换已缓存的签名证书的公钥或者CA证书的公钥。
  • 使用sopuser用户登录UserService所有节点,在任意目录创建PKI证书存放文件夹,并将PKI证书上传到该文件夹下,修改文件权限保证ossuser用户可读。
  • 更新UserService证书前,请保证以下业务正常:
    • “安全 > 用户管理”菜单下,管理对象功能正常,管理对象页面能正常打开。
    • “安全 > 用户管理”菜单下,远端认证配置功能正常,能正确配置并开启远端认证配置。
    • “安全 > 日志管理”菜单下,安全日志、系统日志和操作日志功能正常,能正确显示日志。
注意事项

执行更新证书命令会自动重启UserService才能生效,请在业务量小的时候进行操作。

操作步骤
  1. 使用PuTTY工具以sopuser用户登录UserService所在节点。
  2. 执行如下命令,切换到ossuser用户。

    su - ossuser

  3. 执行如下命令,切换目录。

    cd <安装目录>/<产品名称>/apps/UserService/bin

  4. 执行如下命令,更新证书。

    ./deployPKICert.sh -d <PKI证书存放路径>

    系统回显如下:

    Enter keystore password:
    Reenter Password:
    The original certificate has been backed up.
    The files ca.pem, signing_cert.pem and signing_key.pem in folder <PKI证书路径> have been deleted.
    Certificate updated successfully.
    The UserService service has been restarted.
    说明:
    • 分布式场景下,需在部署UserService服务的所有节点执行以上步骤,节点的部署信息请到服务部署信息中查询。
    • 异地容灾场景下,需在生产站点和容灾站点上部署UserService服务的所有节点执行以上步骤,以保证生产站点和容灾站点上UserService服务的PKI证书保持一致。
    • PKI证书更新完成后,<PKI证书存放路径> 下的PKI证书将自动删除,如果删除失败,请手动删除。
    • 证书替换完成后,/var/share/oss/<产品名称>/UserService/etc目录下以certificate-{数字字符}命名的文件夹内备份了原PKI证书及密钥描述文件,建议及时删除备份的原密钥文件及密钥描述文件,以防止密钥文件泄露。

  5. 检查以下业务是否正常。

    1. “安全 > 用户管理”菜单下,管理对象功能正常,管理对象页面能正常打开。
    2. “安全 > 用户管理”菜单下,远端认证配置功能正常,能正确配置并开启远端认证配置。
    3. “安全 > 日志管理”菜单下,安全日志、系统日志和操作日志功能正常,能正确显示日志。

回退UserService服务的PKI证书

更新UserService的PKI证书失败或者更新后业务受影响,需要回退证书。

注意事项

回退证书需要重启UserService才能生效,请在业务量小的时候进行操作。

操作步骤
  1. 使用PuTTY工具以ossadm用户登录UserService所在节点。
  2. 执行如下命令,切换到ossuser用户。

    su - ossuser

  3. 执行如下命令,切换目录。

    cd /var/share/oss/<产品名称>/UserService/etc

  4. 执行如下命令,删除更新后的证书文件夹。

    rm -rf certificate

  5. 执行如下命令,重命名备份文件夹名称。

    mv certificate-数字字符 certificate

  6. 重启UserService服务进程。

    su - ossadm

    cd <安装目录>/manager/agent//bin

    . engr_profile.sh

    ipmc_adm -cmd restartapp -app UserService

    说明:
    • 分布式场景下,需在部署UserService服务的所有节点执行以上步骤,节点的部署信息请到服务部署信息中查询。
    • 异地容灾场景下,需在生产站点和容灾站点上部署UserService服务的所有节点执行以上步骤,以保证生产站点和容灾站点上UserService服务的PKI证书保持一致。

  7. 检查以下业务是否正常。

    1. “安全 > 用户管理”菜单下,管理对象功能正常,管理对象页面能正常打开。
    2. “安全 > 用户管理”菜单下,远端认证配置功能正常,能正确配置并开启远端认证配置。
    3. “安全 > 日志管理”菜单下,安全日志、系统日志和操作日志功能正常,能正确显示日志。
    • 是,回退证书任务结束。
    • 否,联系技术支持。

更新对接UniSSOWebsite服务证书

SSO场景下,如果系统为微服务部署方式并且作为SSO Client,需要在部署UniSessionService的所有节点上部署对接UniSSOWebsite服务证书以完成对接。请定期更新信任证书以保证系统安全性。

前提条件
  • 已获取对接远端信任证书trust.cer。
操作步骤
说明:
  • 分布式情况下,需在部署UniSessionService服务的所有节点均执行以下操作更新对接UniSSOWebsite证书。
  • 异地容灾场景下,需在生产站点和容灾站点上部署UniSessionService的所有节点执行以下步骤,以保证生产站点和容灾站点上对接UniSSOWebsite证书保持一致。
  1. 使用PuTTY工具,以sopuser登录UniSessionService所在的节点。
  2. 执行以下命令,创建证书存放目录。

    cd /var/share/oss/<产品名称>/UniSessionService/

    mkdir external

  3. 使用FileZilla等上传工具,将cer信任证书上传到UniSessionService服务节点的“/var/share/oss/<产品名称>/UniSessionService/external”目录下。
  4. 执行以下命令,修改证书文件的属主和权限,属主为ossuser:ossgroup,权限为600。

    chown -R ossuser:ossgroup /var/share/oss/<产品名称>/UniSessionService/external

    chmod 600 /var/share/oss/<产品名称>/UniSessionService/external/

  5. 执行以下命令,切换用户并执行环境变量。

    su - ossadm

    cd <安装目录>/manager/bin

    . engr_profile.sh

  6. 执行以下命令,重启UniSessionService

    cd <安装目录>/manager/agent/bin

    ipmc_adm -cmd stopapp -app UniSessionService

    ipmc_adm -cmd startapp -app UniSessionService

更新IAM证书

IAMCacheProxyService通过PKI证书对token进行签名,确保token的安全性。当证书即将过期时,需要更新证书确保系统可用性。为了提高系统安全性,建议定期(3个月)更新证书。手动更新IAMCacheProxyService证书需要使用新证书手工替换旧证书。由于各云服务依赖IAMCacheProxyService进行鉴权,因此手工更新IAMCacheProxyService证书后,其他云服务需要同步更新已缓存的IAMCacheProxyService证书。IAMCacheProxyService内缓存的旧证书也需要通过重启微服务的方式进行清理,确保各服务鉴权时能够使用新证书获取token。

手工更新证书期间,对业务有如下影响:

  • 服务功能不可用。
  • 使用旧证书获取的token失效。证书更新成功后,需要使用新证书重新获取token。
  • 已登录的用户在证书更新成功后,需要重新登录系统。
手工更新证书流程
  1. 生产或购买证书文件:signing_cert.pem、ca.pem和signing_key.pem。如果signing_key.pem已加密,需要同时获取signing_key.pem的密码。如果signing_key.pem未加密,需要对其进行加密。
  2. 加密签名证书的私钥
  3. 手动更新PKI证书
加密签名证书的私钥

更新证书前需要先获取签名证书的私钥signing_key.pem,该私钥须通过AES-128-CBC加密。如果用户获取的私钥未加密,请参考本章节对私钥进行加密。

前提条件
  • 已自行生成或购买如下三个文件:signing_cert.pem、ca.pem和signing_key.pem。
    • signing_cert.pem:签名证书的公钥。生成signing_cert.pem文件时支持以下三种配置:
      • 支持生成签名证书公钥时不配置密钥用法和增强型密钥用法。
      • 若生成签名证书公钥时只配置了密钥用法,该密钥用法中需包含Digital Signature和Key Encipherment。
      • 若生成签名证书公钥时既配置了密钥用法也配置了增强密钥用法,则密钥用法中需包含Digital Signature和Key Encipherment,增强密钥用法中需包含安全电子邮件 (1.3.6.1.5.5.7.3.4)。
    • signing_key.pem:签名证书的私钥。
    • ca.pem:CA的信任证书。
  • 已获取登录IAMCacheProxyService服务所在节点的sopuser用户的密码。
操作步骤
  1. 使用FileZilla等工具以sopuser用户将signing_key.pem文件上传到IAMCacheProxyService服务所在节点的“/home/sopuser/”目录下。
  2. 使用PuTTY工具以sopuser用户通过SSH方式登录IAMCacheProxyService服务所在的节点。
  3. 执行如下命令进入signing_key.pem所在的目录。

    cd /home/sopuser/

  4. 执行如下命令对私钥进行加密。

    openssl rsa -in signing_key.pem -aes128 -out signing_key.pem

    根据提示输入密码。

    Enter PEM pass phrase: signing_key.pem的密码
    Verifying - Enter PEM pass phrase: signing_key.pem的密码
    说明:

    新加密后的signing_key.pem文件,会覆盖当前目录下未加密的signing_key.pem文件。

手动更新PKI证书

统一身份认证通过PKI证书对token进行签名,确保token的安全性。当证书即将过期时,需要更新证书确保系统可用性。为了提高系统安全性,建议定期(3个月)更新证书。手动更新统一身份认证证书需要使用新证书手工替换旧证书。由于各云服务依赖统一身份认证进行鉴权,因此手工更新统一身份认证证书后,其他云服务需要同步更新已缓存的统一身份认证证书。统一身份认证内缓存的旧证书也需要通过重启微服务的方式进行清理,确保各服务鉴权时能够使用新证书获取token。

手工更新证书期间,对业务有如下影响:

  • 服务功能不可用。
  • 使用旧证书获取的token失效。证书更新成功后,需要使用新证书重新获取token。
  • 已登录的用户在证书更新成功后,需要重新登录系统。
前提条件
  • 已自行生成或购买如下三个文件:signing_cert.pem、ca.pem和signing_key.pem。如果signing_key.pem已加密,需要同时获取signing_key.pem的密码。
    • signing_cert.pem:签名证书的公钥。生成signing_cert.pem文件时支持以下三种配置:
      • 支持生成签名证书公钥时不配置密钥用法和增强型密钥用法。
      • 若生成签名证书公钥时只配置了密钥用法,该密钥用法中需包含Digital Signature和Key Encipherment。
      • 若生成签名证书公钥时既配置了密钥用法也配置了增强密钥用法,则密钥用法中需包含Digital Signature和Key Encipherment,增强密钥用法中需包含安全电子邮件 (1.3.6.1.5.5.7.3.4)。
    • signing_key.pem:签名证书的私钥,该私钥须通过AES-128-CBC加密,若私钥未加密,请参考加密签名证书的私钥对私钥进行加密。
    • ca.pem:CA的信任证书。
  • 已获取登录IAMCoreService服务所在节点(所有节点)的sopuserroot用户的密码。
  • 已获取登录IAMCacheProxyService服务所在节点(所有节点)的sopuserroot用户的密码。
背景信息
  • 统一身份认证证书更新后,其他云服务需要同步更新已缓存的signing_cert.pem和ca.pem文件。
  • 统一身份认证服务中的证书更新后,需要重启微服务清理统一身份认证服务中缓存的证书,确保各服务在鉴权时使用更新后的证书获取token。请尽量在业务量少的情况下进行证书更新,以减少影响。
操作步骤
  1. 使用FileZilla等工具以sopuser用户将ca.pem、signing_cert.pem文件上传到IAMCoreService服务所在节点的“/home/sopuser/”目录下。
  2. 使用PuTTY工具以sopuser用户通过SSH方式登录IAMCoreService服务所在的节点。
  3. 执行如下命令,切换到root用户。

    su - root

    Password:root用户密码

  4. 执行如下命令备份原证书。

    mv /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/ca.pem /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/ca.pem_bak

    mv /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/signing_cert.pem /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/signing_cert.pem_bak

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  5. 执行如下命令剪切ca.pem、signing_cert.pem文件到“/var/share/oss/<产品名称>/IAMCoreService/etc/ssl/”目录下。

    mv /home/sopuser/ca.pem /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/

    mv /home/sopuser/signing_cert.pem /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/

  6. 执行如下命令修改证书文件夹的属主及权限。

    chown -R ossuser:ossgroup /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/

    chmod 700 /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/

    chmod 600 /var/share/oss/<产品名称>/IAMCoreService/etc/ssl/*

  7. 执行如下命令重启IAMCoreService服务。

    su - ossadm

    cd /opt/oss/manager/agent/bin

    ./ipmc_adm -cmd restartapp -app IAMCoreService

  8. 在其他IAMCoreService服务所在的节点上分别执行步骤 1~步骤 7
  9. 执行如下命令加密signing_key.pem的密码并记录密码密文。

    source /opt/oss/manager/bin/engr_profile.sh

    python -c "from util import ossext;import getpass;password=getpass.getpass(\"Please enter new password:\");plainText=ossext.Cipher.encrypt(password);print(plainText)"

    Please enter new password:signing_key.pem的密码

    显示类似如下信息为密码密文:

    000000010000000183FB731ABBB0183AACE7C9F052E49FCE879267032DAAEBF630EF757E1994147C

  10. 使用FileZilla等工具以sopuser用户将ca.pem、signing_cert.pem和signing_key.pem文件上传到IAMCacheProxyService服务所在节点的“/home/sopuser/”目录下。
  11. 使用PuTTY工具以sopuser用户通过SSH方式登录IAMCacheProxyService服务所在节点。
  12. 执行如下命令切换到root用户。

    su - root

    Password:root用户密码

  13. 执行以下命令剪切ca.pem、signing_cert.pem和signing_key.pem文件到“/var/share/oss/<产品名称>/IAMCacheProxyService/etc/ssl/”目录下。

    mv /home/sopuser/ca.pem /var/share/oss/<产品名称>/IAMCacheProxyService/etc/ssl/

    mv /home/sopuser/signing_cert.pem /var/share/oss/<产品名称>/IAMCacheProxyService/etc/ssl/

    mv /home/sopuser/signing_key.pem /var/share/oss/<产品名称>/IAMCacheProxyService/etc/ssl/

  14. 执行如下命令修改证书文件夹的属主及权限。

    chown -R ossuser:ossgroup /var/share/oss/<产品名称>/IAMCacheProxyService/etc/ssl/

    chmod -R 750 /var/share/oss/<产品名称>/IAMCacheProxyService/etc/ssl/

  15. 执行如下命令更新“/var/share/oss/<产品名称>/IAMCacheProxyService/etc/ssl/manifest.json”文件,使用步骤 9生成的密文,替换“storePass”对应的值。

    vi /var/share/oss/<产品名称>/IAMCacheProxyService/etc/ssl/manifest.json
    {
    "cert": {
    "name": "signing_cert.pem"
    },
    "ca": {
    "name": "ca.pem"
    },
    "cert_key": {
    "name": "signing_key.pem",
    "storePass": "signing_key.pem的密码的密文"
    }
    }

    编辑完成后,按一下“Esc”键并执行:wq!命令保存退出。

  16. 执行以下命令重启IAMCacheProxyService服务。

    su - ossadm

    cd /opt/oss/manager/agent/bin

    ./ipmc_adm -cmd restartapp -app IAMCacheProxyService

  17. 在其他IAMCacheProxyService服务所在的节点上分别执行步骤 10~步骤 16
  18. 使用PuTTY工具以sopuser用户登录IAMAuthWebsite服务所在的节点。
  19. 执行以下命令切换到ossadm用户。

    su ossadm

    Password:ossadm用户密码

  20. 执行如下命令重启IAMAuthWebsite服务。

    cd /opt/oss/manager/agent/bin

    ./ipmc_adm -cmd restartapp -app IAMAuthWebsite

  21. 在其他部署了IAMAuthWebsite服务的节点上执行步骤 18~步骤 20
  22. 使用PuTTY工具以sopuser用户登录IAMConsoleWebsite服务所在的节点。
  23. 执行以下命令切换到ossadm用户。

    su ossadm

    Password:ossadm用户密码

  24. 执行如下命令重启IAMConsoleWebsite服务。

    cd /opt/oss/manager/agent/bin

    ./ipmc_adm -cmd restartapp -app IAMConsoleWebsite

  25. 在其他IAMConsoleWebsite服务所在的节点上执行步骤 22~步骤 24
更新租户代维所需的SAML证书库

租户代维是运维人员通过登录运维面后直接进入租户面代替租户进行某些维护操作。SAML证书库文件用于建立运维面租户面的信任关系确保正常通信。为了提高系统安全性,建议定期(3个月)更新SAML证书库文件。

已通过租户代维登录的用户在租户代维所需的SAML证书库更新成功后需要重新登录系统。

请尽量在业务量少的情况下更新租户代维所需的SAML证书库,以减少影响。更新方法请参考配置租户代维所需的SAML证书库

配置租户代维所需的SAML证书库

租户代维是运维人员通过登录运维面后直接进入租户面代替租户进行某些维护操作。如需使用该功能,必须将SAML证书库文件(含有私钥和证书的证书库文件)及证书库密码导入到统一身份认证服务中以建立运维面租户面的信任关系确保正常通信。

前提条件
  • 已自行生成或购买SAML证书库文件(文件格式为“*.p12”或“*.jks”)及证书库密码。
  • 已通过管理面查询IAMAuthWebsite服务所在全部节点的IP地址。
  • 已获取登录IAMAuthWebsite服务所在节点(所有节点)的sopuserroot用户的密码。
背景信息

统一身份认证缺省提供一份测试证书,路径在“/opt/oss/<产品名称>/apps/IAMAuthWebsite/etc/certificate/keystore”证书库缺省密码是“Changeme_123”。为了提高系统安全,建议用户使用自己的证书。

说明:

<产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

操作步骤
  1. 使用FileZilla等工具以sopuser用户上传证书库文件到IAMAuthWebsite服务所在节点的“/home/sopuser/ ”目录下。
  2. 使用PuTTY工具以sopuser用户通过SSH方式登录IAMAuthWebsite服务所在的节点。
  3. 执行如下命令,切换到root用户。

    su root

    Password:root用户密码

  4. 执行如下命令,复制证书库文件到“/opt/oss/<产品名称>/apps/IAMAuthWebsite/tools”目录下。

    cp /home/sopuser/filename /opt/oss/<产品名称>/apps/IAMAuthWebsite/tools

    说明:
    • filename步骤 1中上传的证书库文件名称。
    • <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  5. 执行如下命令,切换到证书库文件目录,并修改证书库文件属主和权限。

    cd /opt/oss/<产品名称>/apps/IAMAuthWebsite/tools

    chown ossuser:ossgroup filename

    chmod 640 filename

  6. 执行如下命令,切换到ossuser用户。

    su ossuser

  7. 执行如下命令,将证书库文件及证书库密码导入到统一身份认证服务中。

    sh importSAMLKeystore.sh filename

    Please enter certificate_library's password:证书库的密码 
    Please confirm password:证书库的密码
    • 提示“Operation successful.”,则证书库文件及证书库密码导入成功。
    • 否则,则操作失败,请根据提示信息排查并处理问题后,重新执行上述操作。

  8. 在IAMAuthWebsite服务所在的其他节点上依次执行步骤 1~步骤 7
后续操作

租户代维所需的SAML证书库文件导入完成后,为了方便运维人员在进行代维操作时,直接从运维控制台直跳转至租户控制台,并以目标租户帐户自动登录,还需要在运维面的租户帐号界面中进行初始化设置。操作步骤如下:

  1. 在主菜单中选择“租户 > 租户帐号”。
  2. 在左侧导航树中选择“租户控制台访问设置”。
  3. 单击“初始化设置”。

    说明:

    配置成功后,运维人员为了进行租户代维操作,需选择“租户资源”进入“租户列表”界面,单击目标租户“操作”列的,直接进入租户界面进行相关代维操作。

更新对接SDP所需的证书

统一身份认证与SDP之间进行通信时需要通过证书来证明合法身份。为了提高系统安全性,建议定期(3个月)更新证书。

更新对接SDP所需的证书期间,服务功能不可用。

请尽量在业务量少的情况下更新对接SDP所需的证书,以减少影响。更新方法请参考配置统一身份认证证书

配置统一身份认证证书

在统一身份认证与SDP首次对接前,需要先在OTenantSecurity节点中配置SDP证书,用于统一身份认证与SDP之间进行通信时证明合法身份,以保证通信的安全性。

前提条件
  • 已向SDP获取证书文件。
  • 已通过管理面查询IAMToolService服务所在全部节点的IP地址。
  • 已获取登录IAMToolService服务所在节点(所有节点)的sopuserroot用户的密码。
  • 已获取统一身份认证证书列表的密码,缺省密码为“Changeme_123”。
操作步骤
  1. 使用FileZilla等工具以sopuser用户将SDP提供的证书上传到IAMToolService服务所在节点的“/home/sopuser/ ”目录下。
  2. 使用PuTTY工具以sopuser用户通过SSH方式登录IAMToolService服务所在的节点。
  3. 执行如下命令,切换到root用户。

    su root

    Password:root用户密码

  4. 执行如下命令,复制证书文件到“/opt/oss/<产品名称>/apps/IAMToolService/tools”目录下。

    cp /home/sopuser/filename /opt/oss/<产品名称>/apps/IAMToolService/tools

    说明:
    • filename步骤 1中上传的证书文件名称。
    • <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  5. 执行如下命令,修改证书文件的属主为“ossuser:ossgroup”。

    chown ossuser:ossgroup SDP证书名

  6. 执行如下命令,切换到ossuser用户并导入SDP证书。

    su ossuser

    sh importSDPCert.sh SDP证书名

    Enter keystore password:统一身份认证证书列表的密码
    • 当系统提示“import SDP certificate success”,则证书配置成功。
    • 否则,证书配置失败,请根据提示信息排查并处理问题后,重新导入证书。

  7. 证书导入成功后,执行如下命令,切换到ossadm用户,重启IAMAuthWebsite和IAMCacheProxyService。

    exit

    su ossadm

    cd /opt/oss/manager/agent/bin

    ./ipmc_adm -cmd stopapp -app IAMAuthWebsite && ./ipmc_adm -cmd startapp -app IAMAuthWebsite

    ./ipmc_adm -cmd stopapp -app IAMCacheProxyService && ./ipmc_adm -cmd startapp -app IAMCacheProxyService

  8. 在IAMToolService服务所在的其他节点上依次执行步骤 1~步骤 7

更新虚拟化系统驱动证书

介绍虚拟化系统驱动与ManageOne系统,FusionSphere OpenStack、FusionCompute、OM和vCenter对接使用的证书及更新方法。

证书介绍

ManageOne证书为ManageOne支持管理与第三方管理系统和分析工具系统对接所需的信任证书。FusionSphere OpenStack、FusionCompute、OM和vCenter公钥证书为虚拟化系统驱动向FusionSphere OpenStack、FusionCompute、OM和vCenter采集性能、告警等数据时所需的信任证书。

更新FusionSphere OpenStack、FusionCompute、OM和vCenter公钥证书

虚拟化系统驱动提供了更新FusionSphere OpenStack、FusionCompute、OM和vCenter公钥证书的功能,用于虚拟化系统驱动与FusionSphere OpenStack、FusionCompute、OM和vCenter之间进行对接。

前提条件
  • 已部署驱动管理服务和VIM驱动服务。
  • 已获取FusionSphere OpenStack服务器fsp用户的密码。
操作步骤
  1. 获取信任证书。

    1. 导出FusionSphere OpenStackFusionCompute(当配置VRM时)、OM(当配置OM时)和vCenter(当配置vCenter时)公钥证书,例如:server.cer。
      • 导出FusionSphere OpenStack证书时,在浏览器地址栏中输入“https://FusionSphere OpenStack单机安装时的管理平面IP地址双机安装时的浮动IP地址:8890/”,按“Enter”。
      • 导出FusionCompute证书时,在浏览器地址栏中输入“https://FusionCompute单机安装时的管理平面IP地址双机安装时的浮动IP地址:7443/”,按“Enter”。
      • 导出OM证书时,在浏览器地址栏中输入“https://FusionSphere OpenStack OM单机安装时的管理平面IP地址双机安装时的浮动IP地址:643/”,按“Enter”。
      • 导出vCenter证书时,在浏览器地址栏中输入“https://vCenter单机安装时的管理平面IP地址或双机安装时的浮动IP地址”,按“Enter”。
    2. 打开查看证书界面。
      • 当浏览器是“Internet Explorer”时,单击地址栏右上角中的,在“证书无效”提示框中,单击“查看证书”。
      • 当浏览器是“Google Chrome”时,按“F12”,在浏览器的调试框中选择“安全 > 查看证书”。
      • 当浏览器是“Mozilla Firefox”时,展开“我已充分了解可能的风险”,单击“添加例外”,在“添加安全例外”界面中,单击“查看”。
    3. 单击“详细信息”。
    4. 导出证书。
      • 当浏览器是“Internet Explorer”或“Google Chrome”时,单击“复制到文件”,弹出“证书导出向导”对话框,根据界面提示导出证书。导出证书时选择“导出文件格式”为“Base64编码X.509(CER)(S)”。
      • 当浏览器是“Mozilla Firefox”时,单击“导出”,直接导出证书。

  2. 导入FusionSphere OpenStackFusionCompute(当配置VRM时)、OM(当配置OM时)和vCenter(当配置vCenter时)公钥证书至证书库中。

    1. 打开浏览器,在地址栏中输入https://ManageOne运维界面IP地址:31943/,按“Enter”。
    2. 在主菜单中选择“系统管理 > 接入管理”。
    3. 在左侧导航树中选择“证书管理 > 信任证书”。
    4. 单击“上传”,上传的证书将自动导入信任库。
    5. 单击“文件名称”右侧的,选择需要导入的证书文件。
    6. (可选)在“备注信息”中补充对证书的说明信息,方便管理员后续识别该证书的用途。
    7. 单击“提交”,完成证书的导入。
    说明:
    • 需要导入多个证书时,每个证书的导入操作都必须执行上面的2.b~2.g
    • 通过上传方式或者自动获取到的证书,都会加入到信任库,并且会在信任证书列表中显示。

更新服务器身份证书

当ManageOne管理员需要在虚拟化系统驱动采集告警信息时,需要更新服务器身份证书。

前提条件

ManageOne系统已成功对接。

操作步骤
  1. 获取证书文件。

    获取ManageOne证书server.cer。

    1. 登录ManageOne部署面。

      使用浏览器以admin用户登录服务部署系统(https://部署系统节点IP地址:31943)。

    2. 打开查看证书界面。
      • 当浏览器是“Internet Explorer”时,单击地址栏右上角中的,在“证书无效”提示框中,单击“查看证书”。
      • 当浏览器是“Google Chrome”时,按“F12”,在浏览器的调试框中选择“安全 > 查看证书”。
      • 当浏览器是“Mozilla Firefox”时,展开“我已充分了解可能的风险”,单击“添加例外”,在“添加安全例外”界面中,单击“查看”。
    3. 单击“详细信息”页签。
    4. 导出证书。
      • 当浏览器是“Internet Explorer”或“Google Chrome”时,单击“复制到文件”,弹出“证书导出向导”对话框,根据界面提示导出证书。导出证书时选择“导出文件格式”为“Base64编码X.509(CER)(S)”。
      • 当浏览器是“Mozilla Firefox”时,单击“导出”,直接导出证书。

  2. 获取证书,导入证书。

    1. 登录ManageOne运维面。

      使用浏览器以admin用户登录运维Web页面(https://运维Web页面IP地址:31943)。

    2. 选择主菜单中的“系统管理 > 接入管理”。
    3. 在左侧导航树中选择“证书管理 > 信任证书”。
    4. 单击“上传”,上传的证书将自动导入信任库。
    5. 单击“文件名称”右侧的,选择需要导入的证书文件。
    6. (可选)在“备注信息”中补充对证书的说明信息,方便管理员后续识别这个证书的用途。
    7. 单击“提交”,完成证书的导入。
      说明:

      通过上传方式或者自动获取到的证书,都会加入到信任库,并且会在信任证书列表中显示。

更新北向CA证书

在与第三方系统对接时,需要导出APIMLBService的CA证书,以便第三方系统的管理员将其导入至第三方系统中。

前提条件
  • 需第三方系统支持TLSv1.2版本。
  • 已获取APIMLBService所在节点IP地址。
操作步骤
  1. 使用PuTTY工具以sopuser用户登录APIMLBService所在的主节点。
  2. 执行如下命令切换到ossuser用户。

    su - ossuser

    Password:ossuser用户的密码

  3. 执行如下命令,导出APIMLBService的CA证书。

    1. cd /var/share/oss/Product/APIMLBService/ssl/er/
    2. rm CA.cer
    3. ln -s /opt/oss/rtsp/jre-1.3.36/bin/keytool keytool
    4. for cacert in `echo "" | xargs ./keytool -list -keystore trust.jks | grep trustedCertEntry | awk -F',' '{print $1}'`; do ./keytool -exportcert -rfc -keystore trust.jks -file $cacert -alias $cacert; cat $cacert >> CA.cer; rm $cacert; done;
    Enter keystore password:
    说明:
    • Product是文件路径,请根据实际情况进行替换,一般为ies、Product、Product_O或SOP。
    • 默认密钥库密码为:Changeme_123。
    • 1.3.36是版本号,请根据实际情况进行替换。
    1. if [ -h keytool ]; then rm keytool; fi;

  4. 使用FileZilla工具以ossuser用户登录APIMLBService所在的主节点。在“/var/share/oss/Product/APIMLBService/ssl/er/CA.cer”路径下将APIMLBService的CA证书下载到本地。

    下载CA证书至本地后,在FileZilla工具上将此CA证书删除。

  5. 联系第三方系统的管理员将此CA.cer证书导入至第三方系统中。

更新南向证书

南向证书即驱动管理服务中的身份证书、信任证书和吊销证书。身份证书用于ManageOne验证第三方对接系统的身份,信任证书用于ManageOne与三方系统做双向认证,吊销证书用于公布某些数字证书不再有效。当ManageOne中的接入管理服务检测(检测周期为24小时)在证书即将过期和过期时,系统会产生告警,提醒用户需要更新证书。

注意事项
  • 在上传身份证书时会需要Keystone密码;在生成身份证书时,会同时生成Keystone密码。身份证书支持“*.p12”文件和“*.jks”文件,且大小不能超过50KB。
  • 信任证书支持“*.cer”文件和“*.crt”文件,且大小不能超过50KB。
  • 吊销证书支持“*.crl”文件,且大小不能超过50KB。
更新身份证书
前提条件
  • 已登录ManageOne运维面。
  • 已从CA机构获取身份证书。
背景信息
  • 驱动管理服务与第三方对接系统采用双向SSL认证保证通信的安全性。
  • 身份证书不是默认安装,但是可以默认使用系统平台的证书。为了保证与对接系统通讯时的安全,建议管理员替换该默认证书,并定期更新证书 。身份证书的有效期与ManageOne系统的源证书有关,导出证书时可以看到有效时间,比如身份证书的有效时间是“2017/01/15——2020/01/10”。

    身份证书的有效期建议为36个月及以下。

操作步骤
  1. 选择“系统管理 > 接入管理”。
  2. 在页面左侧选择“证书管理 > 身份证书”。
  3. 单击“上传”。
  4. 在“身份证书”页面按照表6-16的配置说明添加证书信息。

    表6-16 身份证书参数表

    配置参数

    说明

    证书类型

    在下拉列表中选择待上传的身份证书类型,如JKS。

    Keystone密码

    与身份证书配套的密码。

    文件名称

    单击,在弹出的文件对话框中选择待上传的身份证书,并单击“打开”。

  5. 单击“提交”。

    • 如果出现“更新成功”的提示,说明证书上传成功。如果已存在证书,则会替换掉原来的身份证书。
    • 如果出现“更新失败”的提示,说明证书上传失败。请检查所选择的证书与keystone密码是否正确,检查网络是否正常,并重新提交。
    说明:

    如果要删除身份证书,请在证书列表中单击

更新信任证书
前提条件
  • 已登录ManageOne运维面。
  • 已从CA机构获取信任证书。
背景信息
  • 驱动管理服务与第三方对接系统采用双向SSL认证保证通信的安全性。
  • 信任证书由需要接入ManageOne的三方系统提供,不是默认安装,在配置的时候手动导入。为了保证与ManageOne通讯时的安全,需要安装信任证书。信任证书的有效期与对接系统的源证书有关,导出证书时可以看到有效时间,比如信任证书的有效时间是“2016/11/01——2019/10/25”。

    信任证书的有效期建议为36个月及以下。

操作步骤
  1. 选择“系统管理 > 接入管理”。
  2. 在页面左侧选择“证书管理 > 信任证书”。
  3. 单击“上传”。
  4. 单击,在弹出的文件对话框中选择待上传的证书,并单击“打开”。
  5. 单击“提交”。

    • 如果出现“新增成功”的提示,说明证书上传成功。
    • 如果出现“新增失败”的提示,说明证书上传失败。请检查是否为有效的信任证书,检查网络是否正常,并重新提交。
    说明:

    更新信任证书时,需要先删除原来的信任证书,然后上传新的信任证书。

    如果需要删除信任证书,请在证书列表中单击

更新吊销证书
前提条件
  • 已登录ManageOne运维面。
  • 已从CA机构获取吊销证书。
背景信息
  • 驱动管理服务与第三方对接系统采用双向SSL认证保证通信的安全性。
  • 吊销证书由需要接入ManageOne的三方系统提供与颁发,不是默认安装,在配置的时候手动导入。为了保证与ManageOne通讯时的安全,需要安装吊销证书。导入吊销证书时,可看到吊销证书的颁发者、生效时间、下次更新时间和新增时间。比如吊销证书的生效时间是“2016/11/01”,下次更新时间是“2019/10/20”。

    吊销证书的生效时间与下次更新时间的间隔建议为36个月及以下。

操作步骤
  1. 选择“系统管理 > 接入管理”。
  2. 在页面左侧选择“证书管理 > 吊销证书”。
  3. 单击“上传”。
  4. 单击,在弹出的文件对话框中选择待上传的证书,并单击“打开”。
  5. 单击“提交”。

    • 如果出现“新增成功”的提示,说明证书上传成功。
    • 如果出现“新增失败”的提示,说明证书上传失败。请检查是否为有效的吊销证书,检查网络是否正常,并重新提交。
    说明:

    更新吊销证书时,需要先删除原来的吊销证书,然后上传新的吊销证书。

    如果需要删除吊销证书,请在证书列表中单击

导入Syslog服务器信任证书(运维面

当用户选择使用TLS协议转发运维面日志时,ManageOne运维面与Syslog服务器需要通过证书进行认证,以确保安全可靠的通信。当ManageOne运维面与Syslog服务器信任不同的CA时,需要在ManageOne运维面上导入Syslog服务器的信任证书。Syslog服务器上导入证书的操作由其管理员根据服务器实际情况进行导入。

前提条件
  • 已获取Syslog服务器的信任证书“trust.jks”及其密码,建议密码符合如下复杂度要求:
    • 密码至少包含16个随机字符。
    • 密码包含如下至少两种字符的组合:
      • 至少一个大写字母。
      • 至少一个小写字母。
      • 至少一个数字。
      • 至少一个特殊字符: !"#$%&'()*+,-./:;\<=>?@[]^`{_|}~ 和 空格。
  • 已获取ManageOne运维面的身份证书“server.p12”及其密码,该证书必须由Syslog服务器信任的CA或信任CA的子CA颁发。
  • 已获取登录SyslogService服务所在节点的sopuserossadmrootossuser用户的密码。
背景信息
  • 如果使用TCP或UDP协议转发日志,则无需导入证书。
  • 如果ManageOne服务器与Syslog服务器信任同一个CA时,双方认证过程中可以使用ManageOne服务器已导入的证书,无需再次导入证书。
  • ManageOne服务器会认证Syslog服务器,为确保安全性,建议将Syslog服务器配置为认证ManageOne服务器。配置方法请联系Syslog服务器的管理员。
  • Syslog服务器开启认证ManageOne服务器会认证Syslog服务器后,如果二者信任的CA不同,则需要将ManageOne服务器的证书导入到Syslog服务器上,导入方法请联系Syslog服务器的管理员。
  • 导入完Syslog服务器信任证书后,需重启SyslogService服务,建议在业务量较小时进行重启。
  • 分布式情况下,需在所有SyslogService服务所在节点均执行本章节步骤。
  • 异地容灾场景下,需在主站点和备站点上所有SyslogService服务所在节点执行本章节步骤,以保证生产站点和容灾站点上的日志转发证书保持一致。主站点和备站点导入Syslog服务器信任证书时无顺序要求。
操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录SyslogService服务所在节点。
  2. 执行如下命令切换到root用户。

    su - root
    Password:root用户的密码

  3. 执行如下命令,创建证书存放目录并修改属主及权限。

    cd /opt/oss/<产品名称>/etc/ssl

    mkdir 3rdparty

    chown ossuser:ossgroup /opt/oss/<产品名称>/etc/ssl/3rdparty

    chmod 750 /opt/oss/<产品名称>/etc/ssl/3rdparty

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  4. 使用FileZilla工具以sopuser用户将“server.p12”和“trust.jks”上传至SyslogService服务所在节点的“/opt/oss/<产品名称>/etc/ssl/3rdparty”目录。
  5. 执行如下命令将“/opt/oss/<产品名称>/etc/ssl/internal/”目录下的“manifest.json”文件复制到“/opt/oss/<产品名称>/etc/ssl/3rdparty”目录下,并修改文件属主和权限。

    cp /opt/oss/<产品名称>/etc/ssl/internal/manifest.json /opt/oss/<产品名称>/etc/ssl/3rdparty

    chown ossuser:ossgroup /opt/oss/<产品名称>/etc/ssl/3rdparty/manifest.json

    chmod 600 /opt/oss/<产品名称>/etc/ssl/3rdparty/*

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  6. 执行如下命令切换用户并加载环境变量。

    su - ossadm

    Password:ossadm用户的密码   

    cd /opt/oss/manager/bin

    . engr_profile.sh

  7. 执行如下命令加密“trust.jks”和“server.p12”证书的密码并记录加密后的密文。

    ./osskey -cmd encryptpasswd

    New Password:trust.jks证书文件的密码
    Reenter New Password: trust.jks证书文件的密码  
    显示类似如下信息为trust.jks文件的密码密文:
    0000000100000002E306B708090DDF1C68DEBF98C15202D43635F47416AB53706D39D946C0EA67FC

    如果server.p12的密码与trust.jks的密码不一致,请执行如下命令加密server.p12的密码。否则无需执行如下命令。

    ./osskey -cmd encryptpasswd

    New Password:server.p12证书文件的密码
    Reenter New Password: server.p12证书文件的密码  
    显示类似如下信息为server.p12文件的密码密文:
    0000000100000002E306B708090DDF1C68DEBF98C15202D43635F47416AB53706D39D946C0EA67FC

  8. 执行如下命令切换用户ossuser并将证书文件密码配置到“manifest.json”文件。

    su - ossuser

    Password:ossuser用户的密码   

    cd /opt/oss/<产品名称>/etc/ssl/3rdparty

    vi manifest.json

    "server.p12": {
                "storeType": "PKCS12",
                "storePass": "server.p12文件的密码密文",
                "keyPass": "server.p12文件的密码密文"
            },
            "trust.jks": {
                "storeType": "JKS",
                "storePass": "trust.jks文件的密码密文"
            }
    说明:
    • 将“trust.jks文件的密码密文”和“server.p12文件的密码密文”替换为步骤 7记录的对应密码密文。
    • <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

    按“Esc”键,执行:wq!命令保存文件并退出vi编辑器。

  9. 执行以下命令切换到ossadm并执行环境变量。

    su - ossadm

    Password:ossadm用户的密码   

    cd /opt/oss/manager/bin

    . engr_profile.sh

  10. 重启服务

    cd /opt/oss/manager/agent/bin

    ipmc_adm -cmd restartapp -app SyslogService

    • 显示类似如下信息,说明服务重新启动成功,证书导入成功。
      Stopping process SyslogService -0 -0 ... success
      Starting process SyslogService -0 -0 ... success
    • 否则,说明服务重启失败,证书导入失败,请联系华为技术支持工程师。

更新Syslog服务器信任证书(运维面

当用户选择使用TLS协议转发运维面日志时,ManageOne运维面与Syslog服务器需要通过证书进行认证,以确保安全可靠的通信。ManageOne运维面的信任证书即将过期或Syslog服务器信任了新的信任证书时,用户需要在ManageOne运维面更新信任证书,以确保ManageOne运维面和Syslog服务器之间的正常通信。本章节介绍在ManageOne运维面更新Syslog服务器的信任证书的方法。

前提条件
  • 已获取ManageOne运维面的身份证书“server.p12”及其密码,该证书必须由Syslog服务器信任的CA或信任CA的子CA颁发。
  • 已获取Syslog服务器的信任证书“trust.jks”及其密码,建议密码符合如下复杂度要求:
    • 密码至少包含16个随机字符。
    • 密码包含如下至少两种字符的组合:
      • 至少一个大写字母。
      • 至少一个小写字母。
      • 至少一个数字。
      • 至少一个特殊字符: !"#$%&'()*+,-./:;\<=>?@[]^`{_|}~ 和 空格。
  • 已获取登录SyslogService服务所在节点的sopuserossadmrootossuser用户的密码。
背景信息
  • ManageOne运维面会认证Syslog服务器,为确保安全性,建议Syslog服务器信息与ManageOne运维面服务器保持一致。
  • ManageOne运维面上更新证书后需要重新启动日志转发服务。
  • 分布式情况下,需在部署SyslogService服务的所有节点均执行本章节步骤。
  • 异地容灾场景下,需在主站点和备站点上部署SyslogService服务的所有节点执行本章节步骤,以保证生产站点和容灾站点上的日志转发证书保持一致。主站点和备站点更新Syslog服务器信任证书时无顺序要求。
操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录SyslogService服务所在节点。
  2. 执行如下命令,切换到root用户。

    su - root

    Password:root用户密码

  3. 执行如下命令切换目录。

    cd /opt/oss/<产品名称>/etc/ssl

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  4. 查看当前目录下是否存在3rdparty目录。

    • 存在,执行如下命令删除3rdparty目录下的文件。

      rm -rf 3rdparty/*

    • 不存在,执行如下命令创建目录。

      mkdir 3rdparty

  5. 执行如下命令修改3rdparty目录的属主及权限。

    chown ossuser:ossgroup /opt/oss/<产品名称>/etc/ssl/3rdparty

    chmod 750 /opt/oss/<产品名称>/etc/ssl/3rdparty

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  6. 使用FileZilla等上传工具以sopuser用户将“server.p12”和“trust.jks”上传至SyslogService服务所在节点的“/opt/oss/<产品名称>/etc/ssl/3rdparty”目录下。
  7. 执行如下命令将“/opt/oss/<产品名称>/etc/ssl/er”下的“manifest.json”文件复制到“/opt/oss/<产品名称>/etc/ssl/3rdparty”目录下,并修改文件属主和权限。

    cp /opt/oss/<产品名称>/etc/ssl/er/manifest.json /opt/oss/<产品名称>/etc/ssl/3rdparty

    chown ossuser:ossgroup /opt/oss/<产品名称>/etc/ssl/3rdparty/manifest.json

    chmod 600 /opt/oss/<产品名称>/etc/ssl/3rdparty/*

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  8. 执行如下命令切换到ossadm用户并执行环境变量。

    su - ossadm

    Password:ossadm用户密码

    cd /opt/oss/manager/bin

    . engr_profile.sh

  9. 执行如下命令加密server.p12和trust.jks的密码并记录密码密文。

    osskey -cmd encryptpasswd

    New Password:server.p12文件的密码
    Reenter New Password:server.p12文件的密码

    显示类似如下信息为server.p12文件的密码密文:

    0000000100000002E306B708090DDF1C68DEBF98C15202D43635F47416AB53706D39D946C0EA67FC

    如果trust.jks的密码与server.p12的密码不一致,请执行如下命令加密trust.jks的密码。否则无需执行如下命令。

    osskey -cmd encryptpasswd

    New Password:trust.jks文件的密码
    Reenter New Password:trust.jks文件的密码

    显示类似如下信息为trust.jks文件的密码密文:

    0000000100000002E306B708090DDF1C68DEBF98C15202D43635F47416AB53706D39D946C0EA67FC

  10. 执行如下命令切换到ossuser用户,并将server.p12和trust.jks的密码密文配置到“manifest.json”文件中。

    su - ossuser

    Password:ossuser用户的密码   

    cd /opt/oss/<产品名称>/etc/ssl/3rdparty

    vi manifest.json

    "trust.jks": {
        "storeType": "JKS",
        "storePass": "trust.jks文件的密码密文"
    },
    "server.p12": {
        "keyPass": "server.p12文件的密码密文",
        "storeType": "PKCS12",
        "storePass": "server.p12文件的密码"
    },
    说明:
    • 将“trust.jks文件的密码密文”和“server.p12文件的密码密文”替换为步骤 9记录的对应密码密文。
    • <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

    按“Esc”键,执行:wq!命令保存文件并退出vi编辑器。

  11. 执行如下命令切换到ossadm用户并执行环境变量。

    su - ossadm

    Password:ossadm用户密码

    cd /opt/oss/manager/bin

    . engr_profile.sh

  12. 重启动日志转发服务使设置生效。

    cd /opt/oss/manager/agent/bin

    ipmc_adm -cmd restartapp -app SyslogService

    • 显示类似如下信息说明服务重启成功,证书更新成功。
      Stopping process syslogagent-8065-0 ... success
      Starting process  syslogagent-8065-0 ... success 
    • 否则表示重启失败,证书更新失败,请联系华为技术支持工程师处理。

配置SSO

SSO(Single Sign-on)是一种用于多个相关但相互独立的软件系统的访问控制机制。通过配置SSO,用户只需要登录一次即可访问不同的ManageOne系统,登录这些系统时不需要再输入用户名、密码进行认证。

获取SSO信任证书

用户在配置SSO客户端前,需获取SSO服务端信任证书并导入SSO客户端,否则会导致用户登录系统失败。

前提条件

已获取登录UniSessionService服务所在节点的sopuserroot用户的密码。

操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录UniSessionService服务所在节点。
  2. 执行以下命令,切换至root用户。

    su - root
    Password: root用户的密码

  3. 执行以下命令,进入证书目录。

    cd /opt/oss/<产品名称>/etc/ssl/er

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  4. 通过FileZilla工具将trust.cer文件拷贝至本地,在配置完SSO信任证书之后,请及时删除本地证书文件,避免信息泄露。
导入SSO信任证书

SSO证书保证用户通过SSO方式能正常登录系统,配置SSO时,需要在SSO客户端导入SSO证书,否则会导致用户登录系统失败。

前提条件
  • 已获取SSO的信任证书trust.cer。
  • 已获取登录UniSessionService服务所在节点的ossadmsopuserossuser用户的密码。
背景信息
  • 分布式场景下,需在部署UniSessionService服务的所有节点执行本章节步骤。
  • 异地容灾场景下,需在主站点和备站点上部署UniSessionService服务的所有节点执行本章节步骤,以保证主站点和备站点上SSO证书保持一致,在主站点和备站点更新SSO证书无顺序要求。
操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录UniSessionService服务所在节点。
  2. 执行如下命令切换到ossuser用户。

    su - ossuser
    Password:ossuser用户密码

  3. 执行如下命令切换目录。

    cd /var/share/oss/<产品名称>/UniSessionService/

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  4. 查看当前目录下是否存在“external”目录。

  5. 执行以下命令,创建证书存放目录并设置权限为700

    mkdir external

    chmod -R 700 external

  6. 使用FileZilla等工具以sopuser用户将“trust.cer”信任证书上传到UniSessionService服务所在节点的“/var/share/oss/<产品名称>/UniSessionService/external”目录下。

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  7. 执行以下命令,修改证书文件的权限为600。

    chmod 600 /var/share/oss/<产品名称>/UniSessionService/external/*

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  8. 执行以下命令,切换用户并执行环境变量。

    su - ossadm

    Password:ossadm用户密码

    cd /opt/oss/manager/bin

    . engr_profile.sh

  9. 执行以下命令,重启UniSessionService服务。

    cd /opt/oss/manager/agent/bin

    ipmc_adm -cmd restartapp -app UniSessionService

    • 显示类似如下信息,说明服务重新启动成功,证书更新成功。
      Stopping process UniSessionService -0 -0 ... success
      Starting process UniSessionService -0 -0 ... success
    • 否则,说明服务重启失败,证书更新失败,请联系华为技术支持工程师。

更新ES数据平台证书

数据分析平台服务使用证书保证自身的安全性,但证书存在有效期,默认有效期为20年,超过有效期后证书失效,数据分析平台服务无法正常运行。因此,当证书即将过期时,需要及时更新证书以保证服务正常运行。

生成ES数据平台证书

以在MODataSetservice所在服务器节点生成证书为例介绍生成ES数据平台证书的操作。

前提条件
  • 已成功安装OpenSSL工具,版本要求1.0或其以上版本。本章节以OpenSSL1.0.2版本为例。
  • 已安装JDK 1.8.0_65或其以上版本。
  • 已获取数据分析平台微服务节点信息如表6-17所示。
    表6-17 相关微服务节点信息

    微服务

    服务器节点信息示例

    帐户密码信息示例

    MODataSetservice

    • 节点1:192.168.121.170
    • 节点2:192.168.121.171
    • 节点3:192.168.121.172
    • sopuser帐户默认密码:D4I$awOD7k
    • ossuser帐户默认密码:79y52unx@R
    • ossadm帐户默认密码:ZJE%JLq5qx

    MODataPipelineService

    • 节点1:192.168.121.170
    • 节点2:192.168.121.171

    MODataStrategyEngineService

    MOUniformQueryProxyService

注意事项

更新证书时涉及的产品目录中,默认产品名称是Product,如果产品名称不是Product,请根据实际名称替换Product。

背景信息

ES数据平台证书涉及的微服务有:

  • MODataSetservice
  • MODataPipelineService
  • MODataStrategyEngineService
  • MOUniformQueryProxyService
操作步骤
  1. 使用PuTTY工具,以登录服务器节点1为例登录MODataSetService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  2. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  3. 执行以下命令,进入MODataSetService安装目录。

    cd /opt/oss/Product/apps/MODataSetService/scripts

  4. 执行以下命令,设置文件执行权限。

    chmod +x *

  5. 执行以下命令,生成CA证书。

    sh gen_root_ca.sh ossadm ossgroup

    说明:

    ossadm为CA证书密码,ossgroup为truststore密码。

  6. 执行如下命令,生成node证书。

    sh gen_node_cert.sh 0 ossgroup ossadm

    说明:

    0为节点号,ossgroupnode-0-keystore密码,ossadm为CA证书密码。

  7. 执行如下命令生成client证书。

    sh gen_client_node_cert.sh kirk ossgroup ossadm

    说明:

    kirk为节点名称,ossgroupkirk-keystore密码,ossadm为CA证书密码。

  8. 执行以下命令,查看生成的证书。

    ll

    回显如下文件列表:

    ...
    -rwx--x--x 1  ossuser ossgroup 426 May 5 10:57 truststore.jks
    ...
    -rw-r--r-- 1 ossuser ossgroup 4352 May 7 11:35  kirk-keystore.jks
    ...
    -rw-r--r-- 1 ossuser ossgroup 4421 May 7  11:34 node-0-keystore.jks
    ...

    其中,truststore.jks为CA证书,node-0-keystore.jks为node证书,kirk-keystore.jks为client证书,三个证书统称为ES数据平台证书。

更新MODataSetService证书
操作步骤
  1. 使用PuTTY工具,通过生成证书的服务器节点1登录MODataSetService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  2. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  3. 执行以下命令,进入MODataSetService安装目录。

    cd /opt/oss/Product/apps/MODataSetService/scripts

  4. 执行以下命令,更新证书文件。

    cp kirk-keystore.jks node-0-keystore.jks truststore.jks /opt/oss/Product/apps/MODataSetService/elasticsearch/config/

  5. 执行以下命令,修改证书文件读写权限和属主。

    cd /opt/oss/Product/apps/MODataSetService/elasticsearch/config/

    chmod 600 kirk-keystore.jks node-0-keystore.jks truststore.jks

    chown ossuser:ossgroup kirk-keystore.jks node-0-keystore.jks truststore.jks

  6. 依次执行以下命令,更新MODataSetService所在服务器节点2和服务器节点3证书文件。

    scp kirk-keystore.jks node-0-keystore.jks truststore.jks MODataSetService所在服务器节点2的IP地址:/opt/oss/Product/apps/MODataSetService/elasticsearch/config/

    输入ossuser用户密码:79y52unx@R

    scp kirk-keystore.jks node-0-keystore.jks truststore.jks MODataSetService所在服务器节点3的IP地址:/opt/oss/Product/apps/MODataSetService/elasticsearch/config/

    输入ossuser用户密码:79y52unx@R

  7. 使用PuTTY工具,通过服务器节点2登录MODataSetService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  8. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  9. 执行以下命令,修改证书文件读写权限和属主。

    cd /opt/oss/Product/apps/MODataSetService/elasticsearch/config/

    chmod 600 kirk-keystore.jks node-0-keystore.jks truststore.jks

    chown ossuser:ossgroup kirk-keystore.jks node-0-keystore.jks truststore.jks

  10. 使用PuTTY工具,通过服务器节点3登录MODataSetService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  11. 重复执行步骤 8~步骤 9
更新MODataPipelineService证书
操作步骤
  1. 使用PuTTY工具,以登录服务器节点1为例登录MODataPipelineService所在节点

    默认帐户:sopuser,默认密码:D4I$awOD7k

  2. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  3. 执行以下命令,更新证书文件。

    cd /opt/oss/Product/apps/MODataSetService/scripts

    cp kirk-keystore.jks truststore.jks /opt/oss/Product/apps/MODataPipelineService/etc/special

  4. 执行以下命令,修改证书文件读写权限和属主。

    cd /opt/oss/Product/apps/MODataPipelineService/etc/special/

    chmod 600 kirk-keystore.jks truststore.jks

    chown ossuser:ossgroup kirk-keystore.jks truststore.jks

  5. 执行以下命令,更新MODataPipelineService所在服务器节点2证书文件。

    scp kirk-keystore.jks truststore.jks MODataPipelineService所在服务器节点2的IP地址:/opt/oss/Product/apps/MODataPipelineService/etc/special/

    输入ossuser用户密码:79y52unx@R

  6. 使用PuTTY工具,通过服务器节点2登录MODataPipelineService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  7. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  8. 执行以下命令,修改证书文件读写权限和属主。

    cd /opt/oss/Product/apps/MODataPipelineService/etc/special/

    chmod 600 kirk-keystore.jks truststore.jks

    chown ossuser:ossgroup kirk-keystore.jks truststore.jks

更新MODataStrategyEngineService证书
操作步骤
  1. 使用PuTTY工具,以登录服务器节点1为例登录MODataStrategyEngineService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  2. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  3. 执行以下命令,进入MODataStrategyEngineService安装目录。

    cd /opt/oss/Product/apps/MODataSetService/scripts

  4. 执行以下命令,更新证书文件。

    cp kirk-keystore.jks truststore.jks /opt/oss/Product/apps/MODataStrategyEngineService/etc/elasticsearch

  5. 执行以下命令,修改证书文件读写权限和属主。

    cd /opt/oss/Product/apps/MODataStrategyEngineService/etc/elasticsearch

    chmod 600 kirk-keystore.jks truststore.jks

    chown ossuser:ossgroup kirk-keystore.jks truststore.jks

  6. 执行以下命令,更新MODataStrategyEngineService所在服务器节点2证书文件。

    scp kirk-keystore.jks truststore.jks MODataStrategyEngineService所在服务器节点2的IP地址:/opt/oss/Product/apps/MODataStrategyEngineService/etc/elasticsearch/

    输入ossuser用户密码:79y52unx@R

  7. 使用PuTTY工具,通过服务器节点2登录MODataStrategyEngineService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  8. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  9. 执行以下命令,修改证书文件读写权限和属主。

    cd /opt/oss/Product/apps/MODataStrategyEngineService/etc/elasticsearch/

    chmod 600 kirk-keystore.jks truststore.jks

    chown ossuser:ossgroup kirk-keystore.jks truststore.jks

更新MOUniformQueryProxyService证书
操作步骤
  1. 使用PuTTY工具,以登录服务器节点1为例登录MOUniformQueryProxyService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  2. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  3. 执行以下命令,进入MOUniformQueryProxyService安装目录。

    cd /opt/oss/Product/apps/MODataSetService/scripts/

  4. 执行以下命令,更新证书文件。

    cp kirk-keystore.jks truststore.jks /opt/oss/Product/apps/MOUniformQueryProxyService/etc/keystore/

  5. 执行以下命令,修改证书文件读写权限和属主。

    cd /opt/oss/Product/apps/MOUniformQueryProxyService/etc/keystore/

    chmod 600 kirk-keystore.jks truststore.jks

    chown ossuser:ossgroup kirk-keystore.jks truststore.jks

  6. 执行以下命令,更新MOUniformQueryProxyService所在服务器节点2证书文件。

    scp kirk-keystore.jks truststore.jks MOUniformQueryProxyService所在服务器节点2的IP地址:/opt/oss/Product/apps/MOUniformQueryProxyService/etc/keystore/

    输入ossuser用户密码:79y52unx@R。

  7. 使用PuTTY工具,通过服务器节点2登录MOUniformQueryProxyService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  8. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  9. 执行以下命令,修改证书文件读写权限和属主。

    cd /opt/oss/Product/apps/MOUniformQueryProxyService/etc/keystore/

    chmod 600 kirk-keystore.jks truststore.jks

    chown ossuser:ossgroup kirk-keystore.jks truststore.jks

删除冗余文件
操作步骤
  1. 使用PuTTY工具,通过生成证书的服务器节点1登录MODataSetService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  2. 执行以下命令,切换到ossuser用户。

    su ossuser

    默认密码:79y52unx@R

  3. 执行以下命令,删除冗余文件。

    cd /opt/oss/Product/apps/MODataSetService/scripts

    sh clean_all_cert.sh

  4. 执行以下命令,删除执行权限。

    chmod -x *

重启微服务
操作步骤
  1. 使用PuTTY工具,通过生成证书的服务器节点1登录MODataSetService所在服务器

    默认帐户:sopuser,默认密码:D4I$awOD7k

  2. 执行以下命令,切换到ossadm用户。

    su ossadm

    默认密码:ZJE%JLq5qx

  3. 执行以下命令,重启MODataSetService微服务。

    . /opt/oss/manager/agent/bin/engr_profile.sh

    cd /opt/oss/manager/agent/bin

    ./ipmc_adm -cmd restartapp -app MODataSetService

    说明:

    当服务部署在多个节点上时,所有节点上均需执行重启微服务操作。

  4. 参考步骤 1~步骤 3分别对MODataPipelineService、MODataStrategyEngineService和MOUniformQueryProxyService进行重启操作。
翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:28390

下载量:788

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页