系统管理员运维

背景信息

对于有合同的商用开局，根据订单生成License，现场工程师提取已绑定ESN的License后下载安装到系统上。

对于异地容灾系统，只需要申请并加载主集群的License文件，容灾配置完成后，系统会自动同步到备集群。

前置任务

• 获取到授权ID（LAC码）或激活码或项目合同号。
• 获取ESDP权限。

  华为License网站ESDP支持5种角色用户：普通用户Guest、运营商GTS、企业GTS、TAC和渠道，各角色用户的权限定义和获取如下表所示：

  角色	权限定义	权限申请途径说明
  Guest	只允许凭授权密码进行下载激活商用License的ESN变更。	外部最终用户在华为官网申请Uniportal帐号时，即可获得License网站的Guest权限。 华为员工缺省使用W3帐号访问时，即可获得Guest权限。
  运营商GTS	允许对所有商用License、临时License进行的操作维护：激活下载、ESN变更、维护等。	华为员工访问License网站时，可在网站上的“权限申请”菜单进入，提交运营商GTS权限申请电子流。
  企业GTS		华为员工访问License网站时，可在网站上的“权限申请”菜单进入，提交企业GTS权限申请电子流。
  TAC		华为员工访问License网站时，可在网站上的“权限申请”菜单进入，提交TAC权限申请电子流。
  渠道	允许进行其名下的所有合同的商用License下载激活和维护等操作，以及临时License的申请。	已认证通过的渠道，由该渠道管理员登录企业BG的用户信息管理系统为其内部员工申请License网站的增强权限。

操作步骤

1. 在主菜单中选择“系统 > 管理员 > License管理”。
2. 获取ESN码：单击“获取ESN”。

3. 登录华为License发放系统ESDP https://app.huawei.com/sdp/portal.html，选择菜单“License激活>授权激活”，打开License激活页面。
4. 在界面根据授权ID信息搜索激活ID，选择正确的激活ID。

5. 单击“下一步”，输入待绑定的服务器的ESN。

6. 单击“下一步”，单击“确认并激活License”。

7. 下载激活的License文件。

背景信息

永久License会在资源项中规定该项资源可以添加的设备数量，比如AR100系列资源项为100，iMaster NCE-Campus最大允许添加100台AR100系列设备，如超过100台设备，则101台之后的AR100系列设备无法添加。

本地部署场景，系统管理员在建设云管理平台时直接导入全局永久License文件。租户无需向MSP购买License激活码。

只有在系统管理员第一次登录iMaster NCE-Campus，License模式设置为“全局永久”时，系统管理员才能对全局永久License进行管理。

前置任务

如果需要通过iMaster NCE-Campus导入iMaster NCE-CampusInsight的License文件。iMaster NCE-Campus和iMaster NCE-CampusInsight对接时，需要先同步License，详细操作过程请参见对接iMaster NCE-CampusInsight。

操作步骤

1. 在主菜单中选择“系统 > 管理员 > License管理”。
2. 加载License文件：单击“上传License”。

   在“选择License文件”窗口中，选择申请到的License文件。可以上传iMaster NCE-Campus的License文件和iMaster NCE-CampusInsight的License文件。如果iMaster NCE-Campus和iMaster NCE-CampusInsight对接，可以通过iMaster NCE-Campus上传iMaster NCE-CampusInsight的License。

   若提示加载失败，可能由以下原因导致：

   • License文件签名出错。
   • License文件被擅自修改。
   • License文件类型不正确。
   • License文件大小超过50KB。
   • 加载了失效或过期的License文件。

   如果出现上述错误，请联系技术支持工程师。

3. 单击“确定”，License加载成功，查看导入License文件信息，单击图标，查看导入的License文件详细信息。
   • Licene加载成功之后，可以查看软件ID，用于进行SnS计费鉴权。
   • License文件中的License过期时间：License在控制器上可以使用的到期时间，到期后License将不可使用，例如无法纳管设备。
   • License文件中的License SnS过期时间：SnS年费提供有效期内的维保服务及远程技术支持到期时间，到期之后将不提供维保服务和远程技术支持服务。

4. 单击“License信息”页签，查看License信息。
   • 产品名称选择NCE-Campus，查看iMaster NCE-Campus的License信息。

   • 产品名称选择CampusInsight，查看iMaster NCE-CampusInsight的License信息。

后续处理

• 失效License

  在更换iMaster NCE-Campus服务器时，为了保证License能够在新服务器上继续使用，可以使用失效License功能。

  单击“失效License”按钮，将旧iMaster NCE-Campus服务器上的商用License失效，此时会生成一个失效码，获取失效码和新iMaster NCE-Campus服务器的ESN到ESDP平台重新申请License，可以获得旧License的所有资源项。

  单击License文件后边操作列的图标，此时商用License会变成试用License，保活期2个月，保活期结束之后，如果未重新加载新的License，License则会自动停用，所有设备被下线。

• 清除License

  单击License文件后边操作列的，系统进入License未加载状态。

  只有系统管理员下所有租户都没有设备的情况下，方可清除License。

背景信息

License不可再分配：系统管理员直接导入License文件，租户无需向MSP购买License激活码。

只有在系统管理员第一次登录iMaster NCE-Campus，License模式设置为“全局订阅”时，系统管理员才能对全局订阅License进行管理和分配。选择“全局订阅”模式之后，会进入下一步，“License再分配”选择“否”。

操作步骤

1. 在主菜单中选择“系统 > 管理员 > License管理” 。
2. 加载License文件：单击“上传License”。如果iMaster NCE-Campus和iMaster NCE-CampusInsight对接，需要同时导入如果iMaster NCE-Campus和iMaster NCE-CampusInsight的License文件。

   在“选择License文件”窗口中，选择申请到的License文件，单击“确定”，加载成功。

   若提示加载失败，可能由以下原因导致：

   • License文件签名出错。
   • License文件被擅自修改。
   • License文件类型不正确。
   • License文件大小超过50KB。
   • 加载了失效或过期的License文件。

   如果出现上述错误，请联系技术支持工程师。

3. 查询License信息。
   • 查看订阅License资源控制。

     支持按不同的资源项统计License的总的消耗情况。

   • 查看License资源每日消耗量。

     支持按日期查询License资源每日的消耗情况。

   • 查看License导入记录，单击图标，查看License文件的详细信息。

     Licene加载成功之后，可以查看软件ID，用于进行SnS计费鉴权。

后续处理

• 统一过期时间。

  点击“统一过期时间”，可以将不同到期时间的资源项统一成同样的到期时间，方便管理。该操作不可逆。

  该功能可以用来做资源做整合，然后平均发给有设备的资源。举例：有license资源项3种：AR100系列10台天，单价5元/台天，AR1200系列20台天，单价10元/台天，Indoor AP系列20台天，单价20元/台天。iMaster NCE-Campus中存在AR100系列设备5台，AR1200系列设备10台，其他设备没有。可以通过统一到期时间按钮，把资源进行整合：10*5 + 20*10 + 20*20 = 650元，所有设备使用一天的消耗为：5*5 + 10*10 = 125元，650/125 = 5天，剩余25元，那么两种系列的license资源到期时间均统一到5天后。剩余的25元，待下次计算时，加到整合的新资源中。

  这个功能可以使资源分配更灵活，将欠费的资源通过资源整合变成正常使用状态。

• 单击“过期提醒”，开启“接收到期提醒”功能，配置接收邮件的邮箱，License到期之前会发送到指定邮箱进行提醒。
  • 系统管理员必须完成邮箱服务器的配置，方可配置过期提醒，否则过期提醒无法配置成功，详细配置成请参见“配置邮件服务器”。
  • 最多可以配置5个邮箱，每个邮箱通过换行分隔。
  • License资源项距离到期时间小于30天时，开始发送提醒邮件，每天凌晨2：25发送。
  • 如果这里配置了过期提醒，License过期邮件只会发给这里配置的邮箱，不会再单独发邮件到租户管理员邮箱，所以建议将租户管理员的邮箱也在这里进行配置，避免租户管理员无法接收License过期邮件。

• 导出或者发送License使用报告。
  • 导出License使用报告，单击“导出”，选择CVS或者HTML，可以导出CSV或者HTML格式的License使用报告。

  • 配置立即发送License使用报告，单击“邮件发送”，选择“立即发送”进入立即发送页面，单击“添加”，配置接收邮件的邮箱地址，选择需要发送报告的格式，单击，选择财政年度日，单击“确认”。License报告会转换成HTML或者CSV格式文件发送给配置的邮箱。

    每次发送上个自然月的License使用报告，比如说7月份配置发送License使用报告，接收到的是6月份的License使用报告。

    配置邮件提醒功能之前，需要首先完成配置邮箱服务器，详细配置过程请参见“配置邮件服务器”。

  • 配置定期发送License使用报告，单击“邮件发送”，选择“定期发送”进入定期发送页面，将任务开启置为，配置报告名称、财政年度日，单击“添加”，配置接收报告的邮箱，选择发送报告的格式，单击。选择报告发送时间，单击“确定”。License报告会转换成HTML或者CSV格式文件在指定时间发送给配置的邮箱。

背景信息

License可再分配：系统管理员可以通过套餐包的形式将License拆分给MSP管理员，再有MSP管理员将License分配给租户，实现License的精细化管理。

只有在系统管理员第一次登录iMaster NCE-Campus，License模式设置为“全局订阅”时，系统管理员才能对全局订阅License进行管理和分配。选择“全局订阅”模式之后，会进入下一步，“License再分配”选择“是”。

缺省情况下，系统会免费赠送一年的iMaster NCE-Campus平台License资源和30000台*天的订阅License资源。请在License过期前提前购买新的License资源，避免影响业务。

操作步骤

1. 导入License文件。
   1. 在主菜单中选择“系统 > 管理员 > License管理” 。
   2. 加载License文件：单击“上传License”。如果iMaster NCE-Campus和iMaster NCE-CampusInsight对接，需要同时导入iMaster NCE-Campus和iMaster NCE-CampusInsight的License文件。

      在“选择License文件”窗口中，选择申请到的License文件，单击“确定”，加载成功。

      若提示加载失败，可能由以下原因导致：

      • License文件签名出错。
      • License文件被擅自修改。
      • License文件类型不正确。
      • License文件大小超过50KB。
      • 加载了失效或过期的License文件。

      如果出现上述错误，请联系技术支持工程师。

   3. 查询License信息。
      • 查看订阅License资源控制。

        支持按不同的资源项统计License的总的消耗情况。

      • 查看License资源每日消耗量。

        支持按日期查询License资源每日的消耗情况。

      • 查看License导入记录，单击图标，查看License文件的详细信息。

        Licene加载成功之后，可以查看软件ID，用于进行SnS计费鉴权。

2. 配置License套餐包。

   单击“License套餐包”页签，单击“创建”，选择License套餐包内包含的设备系列，单击“应用”，完成License套餐包配置。

   如果iMaster NCE-Campus和iMaster NCE-CampusInsight对接，同时需要配置iMaster NCE-CampusInsight套餐包。

3. 将套餐包分配给MSP。
   1. 单击“MSP License”页签，点击MSP管理员左侧的图标，可以查看到MSP的License状态和License资源消耗情况。

   2. 单击创建，在“License套餐包名称”列单击图标选择License套餐包，单击“确认”。

   3. 配置License资源数，单位为“台*天”，单击图标，完成为MSP分配License套餐包。

   4. （可选）单击图标冻结License套餐包，冻结之后的License套餐包不可再进行分配和使用；单击图标修改License套餐包资源数；单击图标删除已分配的套餐包。

      冻结License套餐包、删除License套餐包都会导致相关设备下线，请谨慎操作。

   5. （可选）单击“停用策略”，配置此License套餐包的停用时间和最长欠费时长。

      对于停用策略配置的停用时间和实际消耗License到期时间，以先到的为准。

4. MSP登录iMaster NCE-Campus，将License分配给租户，详细配置过程请参见“分配License（全局订阅License+License可再分配）”。

后续处理

点击“统一过期时间”，可以将不同到期时间的资源项统一成同样的到期时间，方便管理。该操作不可逆。

该功能可以用来做资源做整合，然后平均发给有设备的资源。举例：有license资源项3种：AR100系列10台天，单价5元/台天，AR1200系类20台天，单价10元/台天，Indoor AP系列20台天，单价20元/台天。iMaster NCE-Campus中存在AR100系列设备5台，AR1200系列设备10台，其他设备没有。可以通过统一到期时间按钮，把资源进行整合：10*5 + 20*10 + 20*20 = 650元，所有设备使用一天的消耗为：5*5 + 10*10 = 125元，650/125 = 5天，剩余25元，那么两种系列的license资源到期时间均统一到5天后。剩余的25元，待下次计算时，加到整合的新资源中。

这个功能可以使资源分配更灵活，将欠费的资源通过资源整合变成正常使用状态。

背景信息

缺省情况下，系统管理员具有所有权限。

为了保证系统的安全性，系统管理员可以创建多个子帐号，并通过角色为每个子帐号分配不同的权限，即分权。

前提条件

• 设置帐号策略。

  通过帐号策略，可以合理设置帐号名的长度等与帐号登录相关的策略，提高iMaster NCE-Campus帐号的安全性。iMaster NCE-Campus默认已经设置了帐号策略，您可以根据具体情况进行修改。

  在主菜单中选择“系统 > 管理员 > 管理员”，单击“帐号策略”。

• 设置密码策略。

  通过密码策略，可以合理设置iMaster NCE-Campus管理员密码的复杂度，更新周期和字符限制等策略，避免设置的管理员密码过于简单而容易被盗用。iMaster NCE-Campus默认已经设置了密码策略，可以根据具体情况进行修改。

  在主菜单中选择“系统 > 管理员 > 管理员”，单击“密码策略”。

  为提高安全性，建议启用iMaster NCE-Campus提供的所有密码安全策略。

  如果需要PCI认证，帐号策略和密码策略请按照如下要求进行调整：

  • 启用帐号停用策略，帐号连续未登录（天）设置为90天，如果帐号超过90天未登录，则停用此帐号。
  • 帐号锁定策略，限定时间段长度（分钟）设置为30分钟，30分钟以内连续登录5次失败，则锁定此帐号，锁定时长设置为30分钟。
  • 密码不能与历史密码重复次数（不能与最近几次历史密码重复）设置为4。

• 创建角色。

  如果系统中已经存在的角色的功能权限不满足需求，可以先创建新的角色，然后再创建新的帐号。

  在主菜单中选择“系统 > 管理员 > 管理员”，单击“角色”页签。单击“创建”，选择功能权限后完成角色的创建。

  iMaster NCE-Campus为系统管理员预置如下角色。预置角色不可删除或修改。

  • System Administrator：系统管理员角色，拥有云平台服务器、集群监控、集群告警和操作系统业务及相关配置功能。
  • Operator：操作员角色，管理系统业务运行。
  • Open Api Operator：开放接口操作员角色，拥有开放接口业务和相关配置的使用权限。

创建用户

1. 在主菜单中选择“系统 > 管理员 > 管理员”。

   缺省情况下，iMaster NCE-Campus预置了“admin”帐户。

   “admin”：系统管理员。当“admin”用户对帐号策略、密码策略和闲置超时时间策略调整时，“admin”用户的帐号策略也会随之调整。“admin”帐号不可修改、不可删除。当首次使用“admin”帐号登录iMaster NCE-Campus之后，根据系统提示修改初始密码。

   您可以在《iMaster NCE-Campus缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。

2. 单击“创建”，在“创建用户”页面中填写参数。

   为了保证安全，请勿将密码透漏给别人， 并且定期修改密码。

   • 手动创建密码。

     “密码创建模式”选择“手动创建”。创建帐号时直接配置密码，如果“首次登录修改密码”选择是，帐号首次登录iMaster NCE-Campus时，会提示用户先修改密码，密码修改成功后方可登录。

   • 邮箱创建密码。

     “密码创建模式”选择“邮箱创建”。完成帐号创建之后，系统会发送一个链接到用户邮箱，登录邮箱，点开链接配置帐号密码。

     • 如果选择邮箱创建密码，请提前配置邮箱服务器，否则系统无法发送链接到邮箱，详细配置过程请参见配置邮件服务器。
     • 通过邮箱创建密码之后，首次登录时iMaster NCE-Campus无需修改密码。

     关键参数	参数说明
     帐号	新建管理员的登录帐号。
     用户类型	本地：本地用户只能从iMaster NCE-Campus界面登录。 三方系统接入：三方系统接入用户使用北向api接口“/controller/v2/tokens”登录。 说明： 当用户类型为“三方系统接入”时，用户只能通过调用接口登录iMaster NCE-Campus。 当用户类型为“本地”时，用户只能通过登录页面登录iMaster NCE-Campus。 升级场景下，“本地”和“三方系统接入”两种类型的用户均修改为“全部”类型的用户。当用户类型为“全部”时，用户通过调用接口和登录页面均可登录iMaster NCE-Campus。
     密码创建模式	密码创建模式可以选择手动创建和邮箱创建。
     密码	新建管理员的初始登录密码。 说明： 该参数仅在“用户类型”选择“本地”时显示。 “密码创建模式”如果是“邮箱创建”，必须填写有效的邮箱地址，完成帐号创建之后，系统会发送一个链接到用户邮箱，登录邮箱，点开链接配置帐号密码。 通过邮箱创建密码，首次登录iMaster NCE-Campus时，用户无需修改密码。
     确认密码
     首次登录修改密码	首次使用该帐号登录时，是否强制修改密码。
     手机	系统管理员电话，方便该系统管理员下的MSP能快速联系上本系统管理员。 可用于该帐号密码找回和消息推送等。请保证手机号的正确性。
     邮箱	系统管理员邮箱，方便该系统管理员下的MSP能快速联系上本系统管理员。 可用于该帐号密码找回和消息推送等。请保证邮箱地址的正确性。
     角色	从下拉列表中选取角色。

3. 单击“下一步”。
4. 进入选择“管理对象”页面，选择此管理员可以管理的MSP帐户，单击“下一步”。缺省情况下，“选择所属最大资源”关闭。

   只有admin帐号创建子管理员帐号时有“选择所属最大资源”开关。

   如果需要所创建的帐号创建工作组，请开启“选择所属最大资源”。

5. 进入“访问控制”页面，单击“创建”，按需设置允许使用该帐号登录iMaster NCE-Campus的IP地址区间，单击“确定”。

   添加IP地址区间以后，仅该区间中的IP地址可以使用该帐号登录iMaster NCE-Campus。否则视为所有IP地址都允许使用该帐号登录iMaster NCE-Campus。

   使用该帐号登录iMaster NCE-Campus以后，在菜单中选择“系统 > 系统管理 > 帐户信息”，在“访问控制”页面中维护这个IP地址区间。

6. 单击“确定”。

后续处理

• 修改帐户信息、重置密码、停用/启用帐户。
  1. 在主菜单中选择“系统 > 管理员 > 管理员”。
  2. 在“操作”列单击图标，修改帐号信息；单击图标重置密码，单击图标停用帐户，如果账户已停用，单击图标启用帐户。

• 删除帐户。
  1. 在主菜单中选择“系统 > 管理员 > 管理员”。
  2. 选中帐户，单击“删除”。

• 移交工作组管理员帐号权限。

  如果工作组管理员更换，可以通过上级管理员将其移交给其他管理员。工作组管理员帐号只能将权限移交给自己创建的管理员帐号，在执行移交之前，请确保工作组管理员已完成新帐号创建。

  • 移交工作组管理员权限只能对当前用户所在工作组的一级子工作组用户进行操作，无法对二级及以上的工作组进行操作。
  • 工作组管理员权限被移交之后，被移交的工作组管理员如果在线，则会被强制退出，且再无任何权限。
  1. 在主菜单中选择“系统 > 管理员 > 管理员”，单击“用户”页签。
  2. 单击“选择”按钮，选择子管理组，单击“确定”。

     选择新帐号，单击“移交”，将此管理组管理员帐号移交给新帐号，移交后新帐号即拥有此管理组的管理员权限。

     新帐号必须为旧工作组管理员帐号创建的子帐号。

     如果图标移到新帐号后边，则说明移交成功。

• 设置用户组。

  在主菜单中选择“系统 > 管理员 > 管理员”，单击“用户组”页签，单击“创建”，创建用户组。

  用户组用于对接第三方服务使用，例如对接AD FS、Net IQ、LADP服务器和AD服务器。

  单击“下一步”，选择管理组管理对象。

  仅具有系统管理员权限的用户可进行用户组设置。

• 个人设置。

  通过个人设置，可提高iMaster NCE-Campus的访问安全性。该功能只对当前用户生效。

  • 设置同时在线数。
    1. 在主菜单中选择“系统 > 系统管理 > 帐户信息”。
    2. 在“基本信息”页面中单击图标，修改“最大同时在线数”，单击“应用”。0表示不限制。

  • 修改密码。
    1. 在主菜单中选择“系统 > 系统管理 > 帐户信息”。
    2. 在“基本信息”页面中单击密码后边的图标，在弹出窗口中设置新密码。

  • 调整允许使用当前帐号登录到iMaster NCE-Campus的IP地址区间。

    单击“访问控制”页签，在“访问控制”页面中设置IP地址区间（列表为空表示不限制），单击“创建”。

• 设置闲置超时时间。

  为了防止其他人员在管理员离开时进行非法操作，iMaster NCE-Campus提供管理员闲置超时设置功能。如果管理员在指定时间内不做任何操作，管理员将被自动注销。管理员自动注销后，管理员需重新登录iMaster NCE-Campus。

  在主菜单中选择“系统 > 管理员 > 管理员”，单击“闲置超时设置”，设置闲置时间，单击“确定”。

• 查看在线用户管理。

  在主菜单中选择“系统 > 管理员 > 管理员”，单击“在线用户”页签。

• 查看个人隐私声明
  1. 在主菜单中选择“系统 > 系统管理 > 帐户信息”。
  2. 在“基本信息”页面中，查看用户是否签署隐私声明。
     • 如果“隐私声明签署”为“未签署”，表示该用户还未签署隐私声明。
     • 如果“隐私声明签署”为“已签署”，表示该用户已签署隐私声明。
• 撤销个人隐私声明
  如果用户想撤销隐私声明签署，可单击“隐私声明签署”后的“撤销”，在弹出的“警告”提示框中单击“确定”。

  撤销隐私声明会注销当前用户的会话，并清除该用户绑定的手机和邮箱，手机和邮箱被清除后，可能会影响用户下次登录或找回密码等功能，请谨慎操作。

背景信息

管理员创建的子帐号和角色数据未做隔离，存在横向越权的问题，存在很大的安全隐患。

例如：默认的根管理员帐号具有最高权限，分别创建了帐号A和帐号B，分别分配给自己的下属部门或者合作公司，如果帐号A和帐号B具有帐号管理、角色管理权限，帐号A和帐号B可以互相修改、删除对方的帐号和角色信息。

工作组可以解决不同用户创建的帐号、角色、用户组数据相互可见而造成的横向越权问题。工作组是一个树形结构，提供一个有层次的权限平面，由上层工作组为下层工作组划分权限范围。在本层工作组内，用户可维护自己的帐号、角色，以及下层工作组。在平行工作组之间，不同帐号权限隔离，数据互不可见。

如果默认的根管理员不希望子帐号之间的横向越权，可以使用工作组管理员代替普通子帐号分配给下属部门或者分公司。

• 最多只能创建5个层级关系的工作组。
• 只能由父工作组的系统管理员创建子工作组。
• 用户只能设置当前工作组的“帐号策略”、“密码策略”、“闲置超时设置”参数，不能对所在工作组的子工作组设置这些参数。

操作步骤

1. 使用系统管理员帐号登录iMaster NCE-Campus，在主菜单中选择“系统 > 管理员 > 工作组”，单击“创建”，填写工作组信息，单击“下一步”。
   表4-23 基本信息

   关键参数	参数说明
   工作组名称	工作组名称应能标识出工作组的用途。
   用户数量	工作组内的所有用户数量，包含子工作组的用户数量。
   工作组数量	工作组内能够创建的子工作组的数量。
   描述	工作组的描述信息。
   角色	工作组管理员角色。 工作组默认支持的角色包括System Administrator、Operator和Open Api Operator。各角色的操作权限如下： System Administrator：系统管理员角色，拥有云平台服务器、集群监控、集群告警和操作系统业务及相关配置功能。 Operator：操作员角色，管理系统业务运行。 Open Api Operator：开放接口操作员角色，拥有开放接口业务和相关配置的使用权限。 新建工作组需要使用管理员帐号创建角色，否则新建工作组创建子工作组的时候无法选择到“角色”。

2. 配置工作组管理员信息，单击“下一步”。

   为了保证安全，请勿将密码透漏给别人， 并且定期修改密码。

   • 手动创建密码。

     “密码创建模式”选择“手动创建”。创建帐号时直接配置密码。

   • 邮箱创建密码。

     “密码创建模式”选择“邮箱创建”。完成帐号创建之后，系统会发送一个链接到用户邮箱，登录邮箱，点开链接配置帐号密码。

     • 如果选择邮箱创建密码，请提前配置邮箱服务器，否则系统无法发送链接到邮箱，详细配置过程请参见配置邮件服务器。
     • 通过邮箱创建密码之后，首次登录时iMaster NCE-Campus无需修改密码。

3. 选择管理对象，即选择此工作组可以管理的MSP，单击“确定”。

4. 使用工作组管理员帐号登录iMaster NCE-Campus。

后续处理

• 修改工作组信息。
  1. 在主菜单中选择“系统 > 管理员 > 工作组”。
  2. 在“操作”列单击图标，修改工作组信息。

     只能修改当前用户的一级子工作组，无法修改当前用户所在的工作组和二级及以上的工作组。

• 删除工作组。
  1. 在主菜单中选择“系统 > 管理员 > 工作组”。
  2. 选中工作组，单击“删除”。
     • 只能删除子工作组，无法删除当前用户所在的工作组。
     • 删除工作组会把子工作组下的所有层级的子工作组、用户、角色、用户组等信息全部删除。
     • 删除工作组是高危操作，请谨慎执行。
• 移交工作组管理员帐号权限。

  如果工作组管理员更换，可以通过上级管理员将其移交给其他管理员。工作组管理员帐号只能将权限移交给自己创建的管理员帐号，在执行移交之前，请确保工作组管理员已完成新帐号创建。

  • 移交工作组管理员权限只能对当前用户所在工作组的一级子工作组用户进行操作，无法对二级及以上的工作组进行操作。
  • 工作组管理员权限被移交之后，被移交的工作组管理员如果在线，则会被强制退出，且再无任何权限。
  1. 在主菜单中选择“系统 > 管理员 > 管理员”，单击“用户”页签。
  2. 单击“选择”按钮，选择子管理组，单击“确定”。

     选择新帐号，单击“移交”，将此管理组管理员帐号移交给新帐号，移交后新帐号即拥有此管理组的管理员权限。

     新帐号必须为旧工作组管理员帐号创建的子帐号。

     如果图标移到新帐号后边，则说明移交成功。

背景信息

系统管理员创建MSP管理员时，会收集用户的邮箱和手机等信息，告知用户已经履行通知义务，并得到了用户的授权需求。

系统管理员可以根据需要创建隐私声明、删除隐私声明、修改隐私声明、查询隐私声明列表及内容和发布隐私声明，以实现对隐私声明进行线上管理。

缺省情况下，iMaster NCE-Campus开启隐私声明管理功能，如果不需要使用隐私声明管理，可以通过管理面关闭隐私声明管理功能，关闭之后，此功能不可用。请参考以下步骤关闭隐私声明管理功能。

1. 登录管理面。
2. 在主菜单中选择“产品 > 软件管理 > 部署产品软件”，选择“更多 > 修改配置参数”。将supportSignPrivacystatement(supportSignPrivacystatement， use 'ON'， or 'OFF')设置为OFF，单击“确定”。

3. 单击查看任务列表，等待任务执行成功。

前提条件

管理员已具有创建、发布、修改和删除隐私声明的权限。

操作步骤

1. 在主菜单中选择“系统 > 管理员 > 隐私声明管理”。
2. 单击“创建”在“创建隐私声明”窗口，填写隐私声明的名称、版本号和内容。

   相同名称的隐私声明，其版本号必须大于已发布隐私声明的版本号。

3. 单击“确定”，完成隐私声明创建。
4. 单击目标隐私声明“操作”列的，在弹出的“警告”窗口中，单击“确定”，发布隐私声明最新版本。

   隐私声明分为草稿和发布两种状态，处于发布状态的隐私声明无法再次发布。

相关操作

后续操作

系统管理员创建MSP管理员时，选择隐私声明签署。

• 签署了隐私声明的MSP，在登录时需根据界面提示签署隐私声明，否则无法登录iMaster NCE-Campus。
• 设置隐私声明的状态为“发布”后，则已使用该同名隐私声明的MSP，其隐私声明版本将被修改为当前发布的最新版本，且相关MSP重新登录iMaster NCE-Campus时，需重新签署该最新发布的隐私声明。

背景信息

系统管理员不能直接向租户提供服务，必须由MSP（Managed Services Provider）提供服务，所以必须先创建MSP和MSP管理员。MSP作为管理服务提供商，负责面向租户提供云化设备和云网络服务，当租户向MSP申请代维服务后，MSP可通过iMaster NCE-Campus对租户网络进行设备状态查询和维护。

前置任务

• MSP登录可以选择“帐号/密码”认证，也可以选择“帐号/密码+短信验证码”，如果配置“帐号/密码+短信验证码”，请提前完成短信服务器配置，详细配置过程请参见配置短信服务器。
• 系统管理员创建MSP管理员时，如果需要填写用户邮箱、手机等信息，通过创建隐私声明，告知用户其已经履行通知义务，并得到了用户的授权，详细操作过程请参见隐私声明管理。

操作步骤

1. 系统管理员登录iMaster NCE-Campus。
2. 进入MSP管理菜单。

   选择“MSP管理 > MSP管理 > MSP管理”。

3. 单击“创建”。
4. 在“MSP信息”中，配置MSP信息，如果认证方式选择“帐号/密码+短信验证码”，请填写用于接收短信验证码的服务电话。隐私声明需要提前创建，详细操作过程请参见隐私声明管理。设置了隐私声明MSP管理员登录iMaster NCE-Campus时，需根据界面提示签署隐私声明，否则无法登录iMaster NCE-Campus。

   如果配置“帐号/密码+短信验证码”认证，短信验证码有以下要求：

   • 验证码的有效时间为5分钟，超过5分钟，则需要重新获取验证码。
   • 1分钟内不能多次获取验证码，1分钟后用户可以再次点击验证码按钮重新发送验证码短信，之前的验证码自动失效。
   • 连续获取5次验证码，获取功能被锁定10分钟。
   • 连续输错3次验证码，本次验证码作废，需要重新获取。

   系统管理员第一次登录iMaster NCE-Campus时，License模式选择“租户订阅”，“支持License拆分”功能才会生效。

   如果需要MSP管理员统一管理并分配租户License，请开启“支持License拆分”，然后由MSP管理登录后激活License并分配给租户，租户无需单独激活License。如果由租户单独激活License，请关闭“支持License拆分”，然后由租户登录后自行激活License。

5. 单击“下一步”。
6. 在“管理员信息”中，配置管理员信息。

   为了保证安全，请勿将密码透漏给别人， 并且定期修改密码。

   • 手动创建密码。

     “密码创建模式”选择“手动创建”。创建帐号时直接配置密码，帐号首次登录iMaster NCE-Campus时，会提示用户先修改密码，密码修改成功后方可登录。

   • 邮箱创建密码。

     “密码创建模式”选择“邮箱创建”。完成帐号创建之后，系统会发送一个链接到用户邮箱，登录邮箱，点开链接配置帐号密码。

     • 如果选择邮箱创建密码，请提前配置邮箱服务器，否则系统无法发送链接到邮箱，详细配置过程请参见配置邮件服务器。
     • 通过邮箱创建密码之后，首次登录时iMaster NCE-Campus无需修改密码。

7. 单击“完成”。

后续处理

参数说明

背景信息

由于业务需求，可以将某MSP管理员下面的租户和租户业务转移给其他MSP管理员进行管理。

租户迁移涉及到租户网络的安全，必须得到租户的确认和许可。

由开启了“License拆分”功能的MSP管理员创建的租户不可迁移。

操作步骤

1. 在主菜单中选择“MSP管理 > MSP管理 > 租户迁移”。
2. 选择MSP和需要转移的租户管理员帐号，选择新的MSP管理员，单击“应用”。

3. 在弹出的高危提示页面中，选择“已确定”，单击“确定”。

4. 查看帐户是否迁移成功。

   使用新的MSP管理员登录iMaster NCE-Campus，进入“租户管理 > 租户管理 > 租户管理”页面，可以查看到新帐户信息。

背景信息

通过设备白名单功能，可以通过ESN白名单限制允许在iMaster NCE-Campus上注册上线的设备。

开启该功能后，不在白名单中的ESN将被视为非法设备。

• 租户管理员在添加设备时，只能添加白名单中的ESN；
• 对于在开启白名单功能之前已添加到iMaster NCE-Campus的非法设备，无法再次上线。

操作步骤

1. 选择“系统 > 系统管理 > 设备白名单”。
2. 开启“启用设备白名单”。

3. 在设备白名单中添加设备ESN。
   • 批量导入

     单击“导入”，在弹出窗口中下载并填写Excel模板，按界面提示导入。

   • 逐条添加

     单击“创建”，在弹出窗口中单击“增加”，逐条添加设备ESN。

单击“导出”，可以将当前环境中存在的所有非法设备导出为csv文件。

背景信息

系统管理员能够查看和维护所有租户所拥有的设备信息。

操作步骤

1. 进入租户设备管理页面。在主菜单中选择“MSP管理 > MSP管理 > 设备列表”。
2. 按条件筛选，以列表形式查看设备的基本信息，按需对租户设备进行删除和导出操作。
3. 在操作列单击，设置页面显示内容。

4. 导出设备信息并下载到本地。
   • 导出指定设备信息：选择指定设备，单击“导出”按钮，则将选中的设备信息导出。

   • 导出所有设备信息：不选择任何设备，单击“导出”按钮，则会将所有设备信息导出。

背景信息

如果租户管理员发现自己的设备被别人占用，无法添加设备，并且无法删除设备，可以联系系统管理员清除设备ESN。清除设备ESN之后，可以重新添加设备。

前提条件

系统管理员清除设备ESN或者删除设备时，系统会以邮件的方式通知当前使用设备的租户管理员。

需要完成以下配置，方可保证邮件发送成功。

• 系统管理员已正确配置邮件服务器，具体请参见配置邮件服务器。
• 创建租户管理员时，必须填写租户的邮箱，邮件默认发送租户管理员邮箱。

操作步骤

1. 进入租户设备管理页面。在主菜单中选择“MSP管理 > MSP管理 > 设备列表”。
2. 选择设备，单击“清除ESN”。

   在弹出窗口中选择“已确定”，单击“确定”。

   清除设备的ESN之后，云AP和非堆叠交换机会恢复出厂设置，并和iMaster NCE-Campus断开连接；对于其他设备，直接断开和iMaster NCE-Campus的连接。同时系统会以邮件方式通知正在使用设备的租户管理员。

3. 选择设备，单击“删除设备”。

   如果设备已加入Fabric，则无法删除设备。

   在弹出的窗口中选择“已确定”，单击“确定”。

   设备删除成功后，此设备在系统界面不可见，同时系统会以邮件方式通知正在使用设备的租户管理员。

背景信息

为了设备安全，可以关闭修改设备BootROM密码功能，关闭之后，租户则无法修改设备BootROM密码。

操作步骤

1. 在主菜单中选择“MSP管理 > MSP管理 > 设备密码策略”。
2. 关闭“支持配置设备BootROM密码”功能，查看弹出的警告信息，单击“确定”，单击“应用”。

   关闭此功能之后，租户则不能对设备BootROM密码进行设置和修改，并且会将所有租户下设备的BootRom密码恢复到出厂设置，请谨慎关闭。

背景信息

iMaster NCE-Campus支持WebUI界面查看或设置系统信息，便于用户快速了解iMaster NCE-Campus的基本信息。

通过WebUI界面快速了解iMaster NCE-Campus的基本配置、实体信息、系统信息和iMaster NCE-Campus所在服务器的操作系统信息。

操作步骤

• 查看或修改iMaster NCE-Campus的基本配置
  1. 在主菜单中选择“系统 > 系统管理 > 系统信息”。
  2. 在页面的“基本配置”模块，用户可以查看iMaster NCE-Campus的基本配置信息。

  3. 单击右上角的，用户可以修改iMaster NCE-Campus的基本配置信息。
  4. 修改完成后，单击“应用”。

• 查看iMaster NCE-Campus的实体信息
  1. 在主菜单中选择“系统 > 系统管理 > 系统信息”。
  2. 在页面的“实体信息”模块，用户可以查看iMaster NCE-Campus的实体信息。

• 查看iMaster NCE-Campus的系统信息
  1. 在主菜单中选择“系统 > 系统管理 > 系统信息”。
  2. 在页面的“系统信息”模块，用户可以查看iMaster NCE-Campus的系统信息。

• 查看iMaster NCE-Campus所在服务器的操作系统信息
  1. 在主菜单中选择“系统 > 系统管理 > 系统信息”。
  2. 在页面的“操作系统信息”模块，用户可以查看iMaster NCE-Campus所在服务器的操作系统信息。

参数说明

前提条件

• iMaster NCE-Campus状态正常。
• 如需要发送通知邮件，需要保证邮件服务器状态正常。

背景信息

控制器支持配置升级维护公告，可以在登录界面或者登录后的页面查看公告信息，或者以邮件方式将公告的内容通知所有的管理员，包括系统管理员、MSP管理员、租户管理员。

• 系统管理员可以重复发布公告。当修改已有公告后，旧公告会被替换掉。
• 如果打开邮件通知开关，每次发布公告后系统只邮件通知一次。

操作步骤

1. 在主菜单中选择“维护 > 维护 > 系统公告”。
2. 设置系统公告的时间段、公告的内容，以及邮件通知相关的参数。

3. 单击“应用”，使系统公告的设置生效。

   设置生效后，刷新页面或者重新登录，单击页面右侧的图标，可以查看到系统公告的详细信息。

   或者退出登录，在登录界面也可以查看系统公告详细信息。

背景信息

配置iMaster NCE-Campus每个版本更新日志，用户能够及时了解本版本新增的功能，以确定是否使用新功能。

操作步骤

1. 在主菜单中选择“维护 > 维护 > 功能更新推送”。
2. 单击“创建”，填写版本号和新特性描述信息，单击“确定”。

   查看每个版本新特性介绍，并可以对新特性进行修改和删除操作。

3. 使用MSP管理员或租户管理员登录iMaster NCE-Campus， 单击页面右侧的图标，单击“云平台更新日志”，可以查看iMaster NCE-Campus新功能更新日志。

背景信息

配置iMaster NCE-Campus每个版本新功能推送，用户能够及时了解本版本新增的功能，以确定是否使用新功能。

操作步骤

1. 在主菜单中选择“维护 > 维护 > 功能更新推送”。
2. 单击“新功能推送”页签，单击“创建”，填写标题、推送图片、功能介绍和推送时间。

   等到了推送起始时间，退出登录，在登录界面也可以查看新功能推送信息。

背景信息

单点登录SSO（Single Sign On）就是在一个多系统共存的环境下，用户在一处登录后，就不用在其他系统中登录，也就是用户的一次登录能得到其他所有系统的信任。

iMaster NCE-Campus集成了单点登录系统的验证功能，可以作为单点登录系统的服务端（SSO Server）使用。可以通过AD FS或者NetIQ单点登录iMaster NCE-Campus。

通过iMaster NCE-Campus登录第三方系统时，需配置SSO服务器端配置接入方的信任地址，用于校验接入方地址，校验通过后，iMaster NCE-Campus方可登录第三方系统。

操作步骤

1. 在主菜单中选择“系统 > 系统管理 > SSO配置”。
   • 进入SSO配置页面，单击“创建”，配置SAML协议和元数据。

     配置iMaster NCE-Campus与AD FS或NetIQ对接，实现AD FS或NetIQ作为SSO认证服务器的单点登录功能，即通过登录AD FS或NetIQ直接登录iMaster NCE-Campus。详细操作过程请参见对接AD FS和对接Net IQ。

   • 单击“SSO服务器端配置”页签，单击“创建”，配置SSO服务器端接入信任地址。

     通过iMaster NCE-Campus登录第三方系统时，需配置SSO服务器端配置接入方的信任地址，用于校验接入方地址，校验通过后，iMaster NCE-Campus方可登录第三方系统。最大可创建256个信任地址。当前可以通过iMaster NCE-Campus登录iMaster NCE-CampusInsight，详细操作过程请参见对接iMaster NCE-CampusInsight。

前提条件

已具备“告警处理”、“清除告警”、“修改告警级别”和“同步网元告警”权限。

背景信息

图4-4 告警状态转换关系

根据告警的确认、清除状态，告警管理将告警分为：

• 当前告警：包括未确认未清除告警、已确认未清除告警、未确认已清除告警。需运维人员重点关注的，可在“当前告警”中进行监控、处理告警。
• 历史告警：指已确认已清除告警。供网络维护人员查询、统计告警数据，为网络性能优化提供数据来源。

操作步骤

1. 在主菜单中选择“告警 > 告警 > 当前告警”。
2. 在“当前告警”界面可以进行如下操作。

   操作名称	场景	操作
   查看告警详情	获取告警名称、定位信息等告警重要信息，协助网络维护人员定位及排除告警对应的故障。	在告警列表中，单击目标告警所在行左侧的箭头，展开目标告警的拓展行。
   手工确认告警	为避免他人同时对某条告警进行处理，用户在处理告警时需手工确认该告警，确认状态表示该告警已有人跟进处理，其他用户不必关注。告警被确认后，由未确认状态变成已确认状态。	选中一条或多条告警，单击告警列表上方的“确认”按钮；也可以在告警列表中单击某条告警操作列的。 确认后，告警参数“确认用户”显示为确认的用户名。
   手工清除告警	某些特定的告警不能自动清除，排除相关故障后，需手工清除。	选中一条或多条告警，单击告警列表上方的“清除”按钮；也可以在告警列表中单击某条告警操作列的。 清除后，若该告警已被确认，该告警将自动被移入历史告警列表中。 清除后，若该告警还未被确认，在告警列表中该告警的背景颜色由白色变成绿色。 说明： 执行清除操作后将不能恢复，请谨慎操作。
   告警规则快捷入口	运维人员可通过快捷入口快速设置与本条告警相关的规则，需具备对应规则的权限才可操作。各规则说明请参见表4-42。	在目标告警所在的操作列中，单击，选择对应规则。

   表4-42 快捷入口规则介绍

   规则	说明
   设置屏蔽规则	对于设备上报而不需要关注的告警，可以通过创建屏蔽规则，使后续上报且符合屏蔽规则的告警不会出现在当前告警列表中。
   告警确认	为避免他人同时对某条告警进行处理，用户在处理告警时需手工确认该告警，确认状态表示该告警已有人跟进处理，其他用户不必关注。告警被确认后，由未确认状态变成已确认状态。
   告警清除	当对接网元或系统自身发生故障时，产生告警；当故障排除后，产生清除告警，原告警被清除。如果网络出现故障导致系统没有接收到清除告警或告警不能自动清除，就需要用户手工清除告警。 用户对告警执行手工清除后，告警管理会下发清除告警命令，对接网元或系统自身会清除相应的告警。

参数说明

应用场景

控制器告警和转发器告警正常保存在数据库中。为了避免过多历史数据影响数据库性能，数据库中的历史告警达到30G之后，最早的20%告警会存储到本地文件，并删除数据库中的数据。本地文件超过1G或180天之后会自动删除。

为了便于通过查看历史告警并定位告警原因，可以配置告警转储策略，将历史告警转储到SFTP服务器。iMaster NCE-Campus每四小时进行一次转储检测，当符合转储触发条件时，iMaster NCE-Campus会自动把告警转储到远端SFTP服务器上，用户可以到SFTP服务器上查看告警文件。

告警转储文件格式示例如下：

• 历史告警：history_alarm_dump_2018-12-20_02.20.06.37.zip
• 事件：event_dump_2018-12-20_02.20.00.141.zip

如果转储过程中发生失败，iMaster NCE-Campus会产生对应的告警信息。请根据告警建议进行相应的处理。

设置告警转储

1. 在主菜单中选择“告警 > 告警 > 告警转储”。
2. 为了方便用户查看告警文件，建议开启数据溢出转储功能，设置告警转储远端SFTP参数。

3. 设置告警转储条件。iMaster NCE-Campus每四小时进行一次转储检测，当符合转储触发条件时，iMaster NCE-Campus会自动把告警转储到远端SFTP服务器上，用户可以到SFTP服务器上查看告警文件。

   如果需要将租户下告警数据通过SFTP转储，打开“转储租户下数据”开关；

   如果不需要将租户下告警数据通过SFTP转储，关闭“转储租户下数据”开关。

4. 单击“应用”，使配置生效。
5. （可选）删除或刷新SSH公钥，如果SSH公钥已更新，请选择过期公钥删除，并刷新新的SSH公钥。SSH公钥用于保证iMaster NCE-Campus和文件服务器之间传输数据的安全性。

参数说明

前置任务

系统管理员已正确配置邮件服务器，详细配置过程参见配置邮件服务器。

配置步骤

1. 在主菜单中选择“告警 > 告警 > 告警通知”。
2. 将“邮件通知”设置为，设置邮件通知参数后，单击“应用”。示例配置如下，具体参数请根据实际情况填写。

3. 邮件通知配置成功后，通知对象中设置的所有邮箱均会收到相同内容的告警邮件。

   用户收到的告警邮件语言和iMaster NCE-Campus语言保持一致。如果iMaster NCE-Campus语言切换后，需要重新设置告警通知方可生效。

   告警邮件表单中告警内容与管理面部署语言保持一致，如果管理面部署是中文环境，则告警邮件表单中告警内容为中文，如果管理面部署到为英文环境，则表单中告警内容为英文。

参数说明

日志类型和操作入口

iMaster NCE-Campus所记录的日志类型和操作入口等，如表4-47所示。

应用场景

所有的日志都保存在数据库中。为了避免过多历史数据影响数据库性能，服务器每四小时检查一次历史日志条数，当符合转储触发条件时iMaster NCE-Campus会自动把日志转储到远端SFTP服务器上，并将转储的日志从iMaster NCE-Campus数据库中删除，用户可以到SFTP服务器上查看日志文件。

日志转储文件名为：

• 安全日志：192.168.3.5_SecurityLog_Store_2016_06_06_09_00_14.zip
• 操作日志：192.168.3.5_OperrationLog_Store_2016_06_06_09_00_00.zip
• 运行日志：192.168.3.5_SystemLog_Store_2016_06_06_14_00_57.zip
  • 文件名中的10.170.209.91表示转储日志的集群节点IP地址，2019_06_08_01_07为日志文件转储时间，以实际时间为准。
  • 如果转储过程中发生失败，iMaster NCE-Campus会产生对应的告警信息。请根据告警建议进行相应的处理。

操作步骤

1. 在主菜单中选择“系统 > 日志 > 日志”，单击“日志超限转储”页签。
2. 为了方便用户查看日志文件，建议开启数据溢出转储功能，设置日志转储远端SFTP参数。

   填写完成后单击“测试连通性”，可以验证配置是否正确。

   配置日志转储时，iMaster NCE-Campus作为客户端，信息认证码算法只支持hmac-sha2-256和hmac-sha2-512两种加密算法，所以要求对端SFTP服务器至少支持其中一种加密算法，否则无法连通。

3. 设置日志转储条件和本地存储策略。

   数据转储条件针对安全日志、操作日志和运行日志分别生效，只有该类型日志超过转储条件之后，方可进行转储，否则该类型日志不会转储到SFTP服务器。

4. 单击“应用”，使配置生效。
5. （可选）删除或刷新SSH公钥，如果SSH公钥已更新，请选择过期公钥删除，并刷新新的SSH公钥。SSH公钥用于保证iMaster NCE-Campus和文件服务器之间传输数据的安全性。

参数说明

背景信息

前提条件

已经向CA机构申请到安全的证书。

操作步骤

1. 在主菜单中选择“系统 > 系统管理 > 证书管理”。
2. 在左侧导航树中选择“服务证书管理”。

3. 在“服务列表”页面。选择需要导入证书的服务名称，根据证书类型选择对应的页签配置证书信息。

   部分服务证书更新证书后需要重启才会生效，参见下表重启对应服务。

   服务重启过程中，对应业务将会中断，建议在业务空闲期执行本节操作。

   表4-50 重启服务列表

   服务列表	操作步骤
   APIMLBService	使用PuTTY工具以sopuser用户通过SSH方式登录MinApiMgr服务下apimlb进程所在的主节点。 执行如下命令，切换到ossadm用户。 su - ossadm Password:ossadm用户的密码 执行如下命令，重启APIMLBService服务。 说明： APIMLBService属于单实例，配置完成后在主节点重启即可，无需在备节点重启。 cd /opt/oss/manager/bin . engr_profile.sh ipmc_adm -cmd restartapp -app APIMLBService 显示类似如下信息，表示重启成功。 Stopping process apimlb-2-0 ... success Starting process apimlb-2-0 ... success 否则，请联系华为技术支持工程师协助处理。
   APINotifyProxyService	使用PuTTY工具以sopuser用户通过SSH方式登录MinApiMgr服务下minapigatewayservice进程所在的主节点。 执行如下命令，切换到ossadm用户。 su - ossadm Password:ossadm用户的密码 执行如下命令，重启MinAPIGatewayService服务。 cd /opt/oss/manager/bin . engr_profile.sh ipmc_adm -cmd restartapp -app MinAPIGatewayService 显示类似如下信息，表示执行成功。 Stopping process nats-2-0 ... success Stopping process minapigatewayservice-2-0 ... success Starting process nats-2-0 ... success Starting process minapigatewayservice-2-0 ... success 否则，请联系华为技术支持工程师协助处理。
   MinAPIGatewayService	使用PuTTY工具以sopuser用户通过SSH方式登录MinApiMgr服务下apimlb进程所在的主节点。 执行如下命令，切换到ossadm用户。 su - ossadm Password:ossadm用户的密码 执行如下命令，重启服务。 cd /opt/oss/manager/bin . engr_profile.sh ipmc_adm -cmd restartapp -app MinAPIGatewayService 显示类似如下信息，表示执行成功。 Stopping process nats-2-0 ... success Stopping process minapigatewayservice-2-0 ... success Starting process nats-2-0 ... success Starting process minapigatewayservice-2-0 ... success 否则，请联系华为技术支持工程师协助处理。 ipmc_adm -cmd restartapp -app APIGovernanceService 显示类似如下信息，表示执行成功。 Stopping process apigovernanceservice-2-0 ... success Starting process apigovernanceservice-2-0 ... success 否则，请联系华为技术支持工程师协助处理。

背景信息

用户通过使用已有证书模板或根据所需证书直接配置证书信息申请证书，减少申请证书步骤，缩短申请证书周期，提升申请证书效率，且方便用户将申请的证书快速应用至各服务。

• 申请证书的有效期由用户自定义的有效期、CA使用的根证书有效期、CA支持的最大有效期和CA支持的申请模板的有效期共同决定。一般情况下，有效期小于等于CA支持的最大有效期和CA支持的申请模板的有效期，具体规格由对接的CA决定。
• 当前证书管理支持的证书格式、密钥算法、密钥长度、证书类型、密钥用途和扩展密钥用途及其说明如表4-51所示。
  表4-51 证书信息

  参数名称	参数说明
  证书格式	证书的格式。 PEM PKCS12
  密钥算法	证书的密钥算法。 RSA ECDSA
  密钥长度	证书密钥的长度。 2048 3027 4096 6144 8192
  证书类型	证书的使用类型。 终端实体证书：不需要使用证书所对应的密钥签发证书时选择该类型。 代理证书：需要使用所对应的密钥签发证书时选择该类型。
  密钥用途	证书密钥的用途。 数字签名：证书需要进行身份验证和数据完整性验证时选择该用途。 防止抵赖：证书需要用公钥校验数字签名来提供防止抵赖（签名实体否认其请求）时选择该用途。 密钥加密：证书需要使用加密协议时选择该用途。 数据加密：证书需要加密其应用数据时选择该用途。 密钥协商：用于发送端和接收端通过明文协商通信时加密数据的公钥。 证书签名：当证书的公钥用于验证证书签名时选择该用途。只能是代理证书使用。 CRL签名：当证书的公钥用于验证吊销信息上的签名时选择该用途。 只做加密：当证书启用密钥协议时选择该用途，表示证书的公钥在协商时只用于加密数据。 只做解密：当证书启用密钥协议时选择该用途，表示证书的公钥在协商时只用于解密数据。
  扩展密钥用途	证书扩展密钥的用途。 服务器验证：TLS WWW 服务器认证，当密钥用途中有数字签名、密钥加密或密钥协商时使用该用途。 客户端验证：TLS WWW 客户端认证，当密钥用途中有数字签名或密钥协商时使用该用途。 邮件验证：邮件保护，当密钥用途中有数字签名、防止抵赖、密钥加密或密钥协商时使用该用途。