所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
密钥管理

密钥管理

实例密钥更新

SSH认证下更新hostkey
操作步骤
  1. 登录实例虚拟机,删除旧的hostkey。

    rm -f /etc/ssh/ssh_host_rsa_key

  2. 重启sshd。

    systemctl restartsshd.service

  3. 更新DBS Gauss core中dbs_node表。

    1. 对新生成的hostkey的pub文件“ssh_host_rsa_key.pub”,使用WCC加密工具加密生成“ssh_host_rsa_key_pub_encrypt”文件。
    2. 执行sql命令。

      update dbs_node set ssh_host_key='ssh_host_rsa_key_pub_encrypt文件的全部内容,粘帖在此' where id='实例id';

SSH认证下更新公钥私钥
操作步骤
  1. 在目标实例对应的DBS Instance mgnt节点上,生成新的工作密钥对。

    1. 执行如下命令,启动ssh私钥生成工具。

      ssh -keygen -t rsa -f id_rsa_work

    2. 当出现如下内容,请输入私钥口令。
      Generating public/private rsa key pair. 
      Enter passphrase (empty for no passphrase): 
    3. 当出现如下内容,再次输入相同的私钥口令。
    Enter same passphrase again: 
    说明:

    私钥口令要求:至少16个字符,大写字母、小写字母、数字和特殊字符至少各一个。

    命令执行完成之后,分别生成私钥文件“id_rsa_work”和公钥文件“id_rsa_work.pub”。

  2. 在DBS Instance mgnt管理的对应实例中执行如下命令。

    echo "id_rsa_work.pub文件的全部内容粘帖在此" > /home/Mike/.ssh/authorized_keys

  3. 更新DBS Gauss core中dbs_node表。

    • 对私钥文件id_rsa_work,使用WCC加密工具加密生成“id_rsa_work_encrypt”文件。

      update dbs_node set ssh_mgnt_pk='id_rsa_work_encypte文件的全部内容,粘帖在此' where id='nodeid';

    • 对私钥口令,使用WCC加密工具加密后的私钥口令(WCC工具包即AESTool.jar,在目录“add-ons/”下)。

      update dbs_node set ssh_mgnt_pph='使用WCC工具加密后的私钥口令,粘帖在此' where id='nodeid';

    完成更新后,对实例的登录,都必须使用步骤1生成的私钥文件“id_rsa_work”。

MySQL SSL认证

根证书需要更新
操作步骤

当前MySQL SSL证书有效时间为20年,当证书过期时,需要按照本章节内容进行MySQL SSL证书更新。

  1. 生成新的根证书。

    1. 生成key(私钥)。

      openssl genrsa -aes256 -out ca.key 2048

      当出现如下内容,请输入私钥口令。

      Generating RSA private key, 2048 bit long modulus 
      .......................+++ 
      ..............+++ 
      e is 65537 (0x10001) 
      Enter pass phrase for ca.key:

      当出现如下内容,请再次输入相同的私钥口令。

      Verifying - Enter pass phrase for ca.key:

      命令执行完成之后生成文件“ca.key”。

    2. 生成证书请求。

      openssl req -new -x509 -days 10950 -key ca.key -out ca.pem -subj /CN=CN/ST=sx/L=xia/O=rds/OU=rds/CN=ca.rds.com-sha256

    说明:
    • -subj "/C=CN/ST=sx/L=xia/O=rds/OU=rds/CN=ca.rds.com"相关属性依据实际情况填写。
    • -days 10950 指证书有效期,默认配置为30年,请依据实际情况要求配置。
    • passwd为加密私钥的口令,根据口令要求设置。

    当出现如下内容,请输入私钥口令。

    Enter pass phrase for ca.key:

  2. 生成新的服务端证书。

    1. 生成key(私钥)。

      openssl genrsa -out server.key 2048

    2. 生成证书请求。

      openssl req -new -x509 -days 7300 -key server.key -out server.crt -subj/CN=CN/ST=sx/L=xia/O=rds/OU=rds/CN=10.145.94.124-sha256

      说明:
      • 其中,10.145.94.124表示实例的虚拟机IP,请根据实例情况配置。
    3. 使用自签名生成证书。

      openssl ca -ss_cert server.crt -cert ca.pem -keyfile ca.key -policy policy_anything -out server.pem -days 7300 -md sha256

    说明:
    • 生成证书请求server.crt的CN(common-name)需要配置成实例所在虚拟机IP。
    • -days 7300 为证书有效期,默认设置为20年,依据实际情况要求配置。
    • 提示输入口令时,输入与根证书需要更新相同的口令。
    • 提示选择[y/n]时,输入y。

  3. 备份旧的证书。

    mv /var/chroot/CA/ca.pem /var/chroot/CA/ca.pem.bak

    mv /var/chroot/CA/server.pem /var/chroot/CA/server.pem.bak

    mv /var/chroot/CA/server.key /var/chroot/CA/server.key.bak

  4. 更新证书。

    mv ca.pem /var/chroot/CA/ca.pem

    mv server.pem /var/chroot/CA/server.pem

    mv server.key /var/chroot/CA/server.key

  5. 重启MySQL。

    service mysql restart --skip-symbolic-links --safe-user-create=1 --local-infile=0

  6. 删除旧的证书。

    当MySQL重启且新证书验证无误后,删除旧的证书。

    rm -f /var/chroot/CA/ca.pem.bak

    rm -f /var/chroot/CA/server.pem.bak

    rm -f /var/chroot/CA/server.key.bak

根证书不需要更新
操作步骤
  1. 根据当前根证书生成新的服务端证书。

    1. 生成key(私钥)。

      openssl genrsa -out server.key 2048

    2. 生成证书请求。

      openssl req -new -x509 -days 7300 -key server.key -out server.crt -subj /CN=CN/ST=sx/L=xia/O=rds/OU=rds/CN=10.145.94.124 -sha256

      说明:

      其中,10.145.94.124表示实例的虚拟机IP,请根据实例情况配置。

    3. 使用自签名生成证书。

      openssl ca -ss_cert server.crt -cert ca.pem -keyfile ca.key -policy policy_anything -out server.pem -days 7300 -md sha256

    说明:
    • 生成证书请求server.crt的CN(common-name)需要配置成实例所在虚拟机IP。
    • -days 7300 为证书有效期,默认设置为20年,依据实际情况要求配置。
    • ca.pem和ca.key为已存在于实例虚拟机/var/chroot/CA目录下的ca证书和私钥。
    • 提示输入口令时输入与步骤1.1步骤1.2相同的口令。
    • 提示选择[y/n]时输入y。

  2. 备份旧的证书。

    mv /var/chroot/CA/server.pem /var/chroot/CA/server.pem.bak

    mv /var/chroot/CA/server.key /var/chroot/CA/server.key.bak

  3. 更新证书。

    mvserver.pem /var/chroot/CA/server.pem

    mv server.key /var/chroot/CA/server.key

  4. 重启MySQL。

    service mysql restart --skip-symbolic-links --safe-user-create=1 --local-infile=0

  5. 删除旧的证书。

    当MySQL重启且新证书验证无误后,删除旧的证书。

    rm -f /var/chroot/CA/server.pem.bak

    rm -f /var/chroot/CA/server.key.bak

PostgreSQL SSL认证

根证书需要更新
操作步骤

当前PostgreSQL SSL证书有效时间为20年,当证书过期时,需要按照本章节内容进行PostgreSQL SSL证书更新。

  1. 生成新的根证书。

    1. 生成key(私钥)。
      openssl genrsa -aes256 -out ca.key 2048

      当出现如下内容,请输入私钥口令。

      Generating RSA private key, 2048 bit long modulus 
      .......................+++ 
      ..............+++ 
      e is 65537 (0x10001) 
      Enter pass phrase for ca.key:

      当出现如下内容,请再次输入相同的私钥口令。

      Verifying - Enter pass phrase for ca.key:

      命令执行完成之后生成文件ca.key。

    2. 生成根证书。
      openssl req -new -x509 -days 10950 -key ca.key -out ca.pem -subj /CN=CN/ST=sx/L=xia/O=rds/OU=rds/CN=ca.rds.com -sha256
    说明:
    • -subj "/C=CN/ST=sx/L=xia/O=rds/OU=rds/CN=ca.rds.com"相关属性依据实际情况填写。
    • -days 10950 指证书有效期,默认配置为30年,请依据实际情况要求配置。
    • passwd为加密私钥的口令,根据口令要求设置。

    当出现如下内容,请输入私钥口令。

    Enter pass phrase for ca.key:

  2. 生成新的服务端证书。

    1. 生成key(私钥)。
      openssl genrsa -out server.key 2048
    2. 生成证书请求。
      openssl req -new -x509 -days 7300 -key server.key -out server.crt -subj /CN=CN/ST=sx/L=xia/O=rds/OU=rds/CN=10.145.94.124 -sha256
      说明:

      其中,10.145.94.124表示实例的虚拟机IP,请根据实例情况配置。

    3. 使用自签名生成证书。
    openssl ca -ss_cert server.crt -cert ca.pem -keyfile ca.key -policy policy_anything -out server.pem -days 7300 -md sha256
    说明:
    • 生成证书请求server.csr的CN(common-name)需要配置成实例所在虚拟机IP。
    • -days 7300 为证书有效期,默认设置为20年,依据实际情况要求配置。

  3. 备份旧的证书。

    mv /var/chroot/CA/ca.pem /var/chroot/CA/ca.pem.bak 
    mv /var/chroot/CA/server.pem /var/chroot/CA/server.pem.bak 
    mv /var/chroot/CA/server.key /var/chroot/CA/server.key.bak

  4. 更新证书。

    mv ca.pem /var/chroot/CA/ca.pem 
    mv server.pem /var/chroot/CA/server.pem 
    mv server.key /var/chroot/CA/server.key

  5. 重启PostgreSQL。

    service postgresql-9.5 restart

  6. 删除旧的证书。

    当PostgreSQL重启且新证书验证无误后,删除旧的证书。

    rm -f /var/chroot/CA/ca.pem.bak 
    rm -f /var/chroot/CA/server.pem.bak 
    rm -f /var/chroot/CA/server.key.bak

根证书不需要更新
操作步骤
  1. 根据当前根证书生成新的服务端证书。

    1. 生成key(私钥)。
      openssl genrsa -out server.key 2048
    2. 生成证书请求。
      openssl req -new -x509 -days 7300 -key server.key -out server.crt -subj /CN=CN/ST=sx/L=xia/O=rds/OU=rds/CN=10.145.94.124 -sha256
      说明:

      其中,10.145.94.124表示实例的虚拟机IP,请根据实例情况配置。

    3. 使用自签名生成证书。
      openssl ca -ss_cert server.crt -cert ca.pem -keyfile ca.key -policy policy_anything -out server.pem -days 7300 -md sha25
    说明:
    • 生成证书请求server.csr的CN(common-name)需要配置成实例所在虚拟机IP。
    • -days 7300 为证书有效期,默认设置为20年,依据实际情况要求配置。
    • ca.pem和ca.key为已存在于实例虚拟机上的ca证书和私钥。

  2. 备份旧的证书。

    mv /var/chroot/CA/server.pem /var/chroot/CA/server.pem.bak 
    mv /var/chroot/CA/server.key /var/chroot/CA/server.key.bak

  3. 更新证书。

    mv server.pem /var/chroot/CA/server.pem 
    mv server.key /var/chroot/CA/server.key

  4. 重启PostgreSQL。

    service postgresql-9.5 restart

  5. 删除旧的证书。

    当PostgreSQL重启且新证书验证无误后,删除旧的证书。

    rm -f /var/chroot/CA/server.pem.bak 
    rm -f /var/chroot/CA/server.key.bak

Microsoft SQL Server SSL认证

根证书需要更新
操作步骤

当前Microsoft SQL Server SSL证书有效时间为20年,当证书过期时,需要按照本章节内容进行Microsoft SQL Server SSL证书更新。

  1. 生成新的根证书。

    1. 生成key(私钥)。
      openssl genrsa -aes256 -out ca.key 2048

      当出现如下内容,请输入私钥口令。

      Generating RSA private key, 2048 bit long modulus 
      .......................+++ 
      ..............+++ 
      e is 65537 (0x10001) 
      Enter pass phrase for ca.key:

      当出现如下内容,请再次输入相同的私钥口令。

      Verifying - Enter pass phrase for ca.key:

      命令执行完成之后生成文件ca.key。

    2. 生成根证书。
      openssl req -new -x509 -days 10950 -key ca.key -out ca.pem -subj /CN=CN/ST=shanxi/L=xian/O=huawei/OU=RDS/CN=ca.huawei.com -sha256
    说明:
    • -subj "/C=CN/ST=shanxi/L=xian/O=huawei/OU=RDS/CN=ca.huawei.com"相关属性依据实际情况填写。
    • -days 10950 指证书有效期,默认配置为20年,请依据实际情况要求配置。
    • passwd为加密私钥的口令,根据口令要求设置。

    当出现如下内容,请输入私钥口令。

    Enter pass phrase for ca.key:

  2. 生成新的服务端证书。

    1. 生成key(私钥)。
      openssl genrsa -out server.key 2048
    2. 生成证书请求。
      openssl req -new -x509 -days 7300 -key server.key -out server.crt -subj /CN=CN/ST=shanxi/L=xian/O=huawei/OU=RDS/CN=10.145.94.124 -sha256
      说明:

      其中,10.145.94.124表示实例的虚拟机IP,请根据实例情况配置。

    3. 使用自签名生成证书。
      openssl ca -ss_cert server.crt -cert ca.pem -keyfile ca.key -policy policy_anything -out server.pem -days 7300
    4. 生成p12格式证书。
      openssl pkcs12 -export -out server.p12 -in server.pem -inkey server.key
    说明:
    • 生成证书请求server.csr的CN(common-name)需要配置成实例所在虚拟机IP。
    • -days 7300 为证书有效期,默认设置为20年,依据实际情况要求配置。
    • 根据提示输出生成p12证书的密码。

  3. 导入新的证书。

    $pass = ConvertTo-SecureString Passwd -AsPlainText -Force  
    Import-PfxCertificate -FilePath $Filepath -Password $pass -CertStoreLocation cert:\localMachine\my
    说明:

    Passwd为p12证书的密码。

  4. 更新证书。

    $a=Get-ChildItem -path cert:\LocalMachine\My |sls O=Huawei 
    $thumprint=$a.tostring().split(" ")[-1] 
    cmd /c reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib" /v Certificate /f 
    cmd /c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib" /v Certificate /d "$thumprint" /t REG_SZ /f

  5. 重启Microsoft SQL Server。

    net stop sqlserveragent 
    net stop mssqlserver 
    net start mssqlserver 
    net start sqlserveragent

根证书不需要更新
操作步骤
  1. 生成新的服务端证书。

    1. 生成key(私钥)。
      openssl genrsa -out server.key 2048
    2. 生成证书请求。
      openssl req -new -x509 -days 7300 -key server.key -out server.crt -subj /CN=CN/ST=shanxi/L=xian/O=huawei/OU=RDS/CN=10.145.94.124 -sha256
      说明:

      其中,10.145.94.124表示实例的虚拟机IP,请根据实例情况配置。

    3. 使用自签名生成证书。
      openssl ca -ss_cert server.crt -cert ca.pem -keyfile ca.key -policy policy_anything -out server.pem -days 7300
    4. 生成p12格式证书。
      openssl pkcs12 -export -out server.p12 -in server.pem -inkey server.key
    说明:
    • 生成证书请求server.csr的CN(common-name)需要配置成实例所在虚拟机IP。
    • -days 7300 为证书有效期,默认设置为20年,依据实际情况要求配置。
    • 根据提示输入生成p12证书的密码。

  2. 导入新的证书。

    $pass = ConvertTo-SecureString Passwd -AsPlainText -Force  
    Import-PfxCertificate -FilePath $Filepath -Password $pass -CertStoreLocation cert:\localMachine\my
    说明:

    Passwd为p12证书的密码。

  3. 更新证书。

    $a=Get-ChildItem -path cert:\LocalMachine\My |sls O=Huawei 
    $thumprint=$a.tostring().split(" ")[-1] 
    cmd /c reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib" /v Certificate /f 
    cmd /c reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib" /v Certificate /d "$thumprint" /t REG_SZ /f

  4. 重启Microsoft SQL Server。

    net stop sqlserveragent 
    net stop mssqlserver 
    net start mssqlserver 
    net start sqlserveragent

管理节点SSH密钥更新

操作步骤
  1. 在管理节点虚拟机下,执行以下命令生成新的工作密钥对。

    1. 执行如下命令,启动ssh密钥生成工具。

      ssh -keygen -trsa -f id_rsa_work

    2. 当出现如下内容,请输入私钥口令。
      Generating public/private rsa key pair. 
      Enter passphrase (empty for no passphrase): 
    3. 当出现如下内容,再次输入相同的私钥口令。
      Enter same passphrase again: 
    说明:

    私钥口令要求:至少16个字符,必须包含大写字母、小写字母、数字、特殊字符。

    命令执行完成之后,会在当前目录下分别生成私钥文件“id_rsa_work”和公钥文件“id_rsa_work.pub”。

  2. 步骤1的当前目录下,执行下面的命令将公钥信息写入loginonly用户下。

    cat id_rsa_work.pub >> /home/loginonly/.ssh/authorized_keys

  3. 保存私钥文件。

    请用户自行保存环境上的私钥文件“id_rsa_work”到一个安全的位置后,执行下面的命令,删除当前环境的私钥文件及公钥文件。

    rm -rf id_rsa_work id_rsa_work.pub

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:29481

下载量:793

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页